뉴니커, 올해 주요 통신사와 금융기관을 비롯해 업계를 막론하고 여기저기에서 개인정보 유출 사건이 발생했잖아요. “올해 ‘해킹의 해’ 같은 거 아니야?”라는 자조가 나올 정도라고 하는데요. 그러던 최근 이커머스 시장 1위 쿠팡에서 고객 3370만 명의 정보가 유출되면서 소비자들의 걱정이 커지고 있어요. 이게 대체 어떻게 된 일인지, 나의 개인정보를 지킬 안전한 방법은 무엇일지 함께 알아봐요.

쿠팡 유출 사태 개요: 정확히 무슨 일이 있었어?

• 11월 20일: 쿠팡은 지난 20일 고객명, 연락처, 주소, 이메일 등을 포함한 개인정보 4536건이 유출됐다며 개인정보보호위원회와 한국인터넷진흥원에 신고를 접수했어요(그래픽). 이후 25일에는 서울경찰청 사이버수사대에 ‘성명불상자’를 상대로 고소장을 제출하며 수사를 의뢰했고요.
• 11월 29일: 추가로 접수된 2차 신고에서 쿠팡이 밝힌 피해 규모는 갑자기 7500배나 늘어났는데요: “유출된 계정이 4500개...인 줄 알았는데 3370만 개입니다 💦.” 이는 쿠팡의 활성고객으로 알려진 2470만 명보다 많아요. 사실상 쿠팡에 가입한 모든 회원의 개인정보가 유출된 것으로 보인다고. 전문가들은 이번 사태를 두고 2011년 3500만 명이 피해를 입었던 네이트 해킹 사고 이후 “14년 만에 최악의 유출 사고야!”라고 지적하고 있어요. 
• 11월 30일: 과학기술정보통신부는 민관합동조사단을 꾸리고 이번 사태에 대한 조사와 원인 분석, 대책 마련에 들어갔어요. 박대준 쿠팡 대표는 “피해 입은 고객들과 국민들에게 사과드린다”라는 입장을 발표했고요. 쿠팡 측은 “결제·신용카드 번호는 유출되지 않았다”라고 해명했는데요. 이미 무너진 신뢰를 회복하기엔 역부족이라는 비판이 나와요.

쿠팡은 이번 유출 사태의 원인을 외부 해커의 공격이 아닌 내부자의 소행으로 보고 있어요. 유력한 용의자로는 쿠팡에서 근무했던 중국 국적의 직원이 지목되고 있는데요. 인증 관련 업무를 담당했던 이 직원은 퇴사한 이후 시스템 로그인 등 별도의 제재 없이 개인정보를 빼돌린 것으로 추정돼요. 언제든지 자유로운 접근이 가능한 디지털 출입증(=인증 토큰)과 이를 만드는 데 필요한 만능열쇠(=서명키)를 갖고 있었던 것으로 보이면서 보안 관리가 부실했다는 의혹이 커지고 있어요. 

쿠팡 유출 사태 분석 및 반응: “나아진 점이 없다”라는 말 나오는 이유

전문가들은 올해 발생한 다른 개인정보 유출 사건처럼 이번 쿠팡 사태 또한 비슷한 3가지 문제점이 고스란히 반복됐다고 말해요. 자세히 살펴보면:

• 소 잃고 외양간 고치기? 뒷북 신고🚨:  쿠팡의 개인정보 유출은 이미 5개월 전 해외 서버에서 무단 접근이 이뤄지며 시작됐지만 최근까지 해당 사실을 인지하지 못했다는 사실이 알려지며 논란이 커졌는데요. 2021년 내부망에 해커가 침입한 사실을 몇 년이 지난 뒤에야 알았던 SK텔레콤 해킹 사태, 무단 소액결제가 벌어진 뒤 1년 뒤에 사실을 파악한 KT 불법 기지국 사태 등과 닮았다는 말이 나온다고. 
• “괜찮아!”→ “죄송합니다” 번복 발표 😥: 쿠팡이 발표한 피해 규모가 불과 9일 만에 약 4500건에서 약 3300만 건으로 늘어나며 비판이 확산됐어요. “해킹 가능성이나 정보 유출이 없다”라고 초기 발표에서 밝혔던 롯데카드나 KT 사례와 비슷한 모습을 보였고요.
• 뻥 뚫리고 허술해... 부실한 보안 체계 ⚙️: 일반적으로 퇴사자에 대해 계정 정리와 접근 권한 삭제 등 관리가 이뤄져야 하는데요. 쿠팡은 내부 시스템 정보 접근 권한 관리를 방치하는 등 인증 체계가 허술했다는 비판을 받아요. 전문가들로부터 “이해할 수 없다”라는 말이 나올 정도로 내부 시스템이 취약했던 것으로 보인다고.

이번 사태를 두고 “단순한 보안 이슈가 아니라 쿠팡의 구조적인 문제가 쌓여있다가 터진 거야!”라는 지적도 나오는데요. 잇따른 노동자 과로사 논란 등 각종 사회적 문제에 이어 이번 사태까지 터진 배경으로는 (1) 폭발적인 성장을 통해 이룬 시장 독점 체제 (2) 지속가능한 성장보다 단기적인 매출과 이익 추구에만 신경 쓰는 조직문화 등이 자리 잡고 있다는 것.

쿠팡 유출 사태 피해 전망: 피해자는 전 국민, 과징금은 1조 이상?

전례를 찾아보기 힘든 유출 피해가 발생함에 따라 “역대 최대 규모의 집단소송이 나올 수도 있어!”라는 전망이 나와요. 우리나라 총인구가 5100만 명, 유출 피해를 입은 고객이 3370만 명이라는 점을 고려하면 전 국민의 65% 이상이 해당한다고 하는데요. 가족이나 친구의 개인정보가 유출됐을 가능성, 보이스피싱 등 2차 피해까지 고려하면 사실상 “경제활동을 하는 국민이 모두 위협에 노출돼 있다”라는 말까지 나온다고. 법조계에선 쿠팡이 내야 할 과징금이 1조 원을 넘길 가능성이 있다고 보고 있어요.

+ 쿠팡 유출 사태 후폭풍: 2차 피해 어떻게 막을 수 있어?

과학기술정보통신부·개인정보보호위원회 등은 이번 일로 “추가적인 개인정보, 금전 탈취 시도가 우려된다”라며 대국민 보안 공지를 낸 상태예요. 그러면서 한 번 유출된 정보는 N차로 악용될 수 있다며 주의를 당부했는데요. 전문가들이 내놓은 보안 관련 조언을 싹 모아봤어요.

• 모르는 번호나 의심 가는 문자 등 보이스피싱·스미싱문자 주의하기
• ‘개인정보 유출 피해 보상’, ‘긴급 앱 업데이트’, ‘배송 오류’ 등 관련 사칭 문자·전화·URL 주의하기
• 쿠팡 앱의 비밀번호 바꾸기
• 쿠팡 앱에 등록된 카드 재발급·결제 수단 변경하기
• 쿠팡 배송 정보에 적어놓은 아파트 공동 현관 비밀번호나 주소 변경하기