[기획] 덩치만 키운 쿠팡, 결국 전국민 다 털렸다
언론기사・2025.11.30
고객 3370만명 개인정보 유출
5개월째 피해 사실 인지 못해
소비자들 보안관리 불만 커져
쿠팡 본사 [연합뉴스 제공]
국내 전자상거래 1위 업체 쿠팡이 사실상 대한민국 전자상거래 전체 이용객 정보가 털리는 사고를 내고도 5개월째 피해 사실조차 인지하지 못한 것으로 드러났다. ‘깜깜이’ 보안 관리에 소비자 불안과 불만이 커지고 있다.
쿠팡 측은 대한민국 성인 4명 중 3명에 해당하는 3370만명의 고객 이름과 전화번호, 주소 등 정보가 유출된 것이 외부 해킹이 아닌 중국 국적의 직원 소행인 것으로 파악됐다고 했지만, 회사 책임을 개인 일탈로 돌리는 것 아니냐는 비난까지 나온다.
쿠팡은 30일 “해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근해 고객 계정 3370만개가 무단으로 노출됐다”며 “회사에서 근무하다 퇴사한 중국 국적의 직원이 누출한 것으로 파악됐다”고 밝혔다.
쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 했다. 처음엔 피해 고객 계정이 4500여개라고 발표했지만, 9일 만에 피해 규모가 7500배인 3370만개로 정정하면서 사고 대응에 대한 신뢰에 금이 갔다.
쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)은 2470만명인데, 이보다 많은 것으로 보아 사실상 전체 고객의 정보가 유출된 것으로 추정된다.
쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘고, 지난 2011년 약 3500만명의 정보 유출 사태를 빚은 싸이월드·네이트 사례와 맞먹는다.
추가 피해가 더 나오는 게 아니냐는 우려도 커지고 있다. 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼, 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다.
보안 사고가 터졌던 다른 기업들도 당국의 조사가 진행되면서 피해 규모는 더 커졌다.유출된 쿠팡 고객정보를 악용한 스미싱·보이스피싱 등 2차 피해도 우려된다.
이번 쿠팡 사태가 뒷걸음질 치고 있는 보안투자와 무관치 않다는 지적도 나온다. 한국인터넷진흥원(KISA)의 정보보호 투자 공시에 따르면, 쿠팡의 정보기술부문 투자 대비 정보보호부문 투자 비율은 최근 4년간 꾸준히 줄었다. 정보기술부문 투자 대비 정보보호부문 투자 비율은 2022년 7.1%에서 2023년 6.9%, 2024년 5.6%로 떨어졌고, 올해 4.6%까지 내려왔다.
773개 정보보호 투자 공시 기업들의 총 정보기술부문 투자 대비 정보보호부문 투자 비율 평균인 6.28%에도 못 미친다. 정보기술부문 인력 중 정보보호 인력이 차지하는 비중도 2024년 7.5%에서 올해 6.9%로 낮아졌다.
정보보호와 관련된 유명무실한 정부 인증 제도도 도마 위에 올랐다. 국회 정무위원회 소속 한창민 사회민주당 의원에 따르면, 쿠팡은 정보보호 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 두 차례나 취득하고도 올해까지 4건의 개인정보 유출 사고를 냈다.
개인정보위가 장관급 중앙행정기관으로 격상된 2020년 이후부터 이달까지 총 27개의 ISMS-P 인증 기업에서 34건의 개인정보 유출 사고가 발생했다.
보안 업계 한 전문가는 “전직 외국인 직원이 사실상 쿠팡 고객 전체 계정에 접근해 유출했다는 해명이 쉽게 이해되지 않는다”며 “일개 외국 직원의 소행이 사실이라면 회사의 정보보안이 허술하다는 방증이고, 그렇지 않다면 개인 일탈로 돌리는 ‘꼬리자르기’로 보인다”고 지적했다.
5개월째 피해 사실 인지 못해
소비자들 보안관리 불만 커져
쿠팡 본사 [연합뉴스 제공]국내 전자상거래 1위 업체 쿠팡이 사실상 대한민국 전자상거래 전체 이용객 정보가 털리는 사고를 내고도 5개월째 피해 사실조차 인지하지 못한 것으로 드러났다. ‘깜깜이’ 보안 관리에 소비자 불안과 불만이 커지고 있다.
쿠팡 측은 대한민국 성인 4명 중 3명에 해당하는 3370만명의 고객 이름과 전화번호, 주소 등 정보가 유출된 것이 외부 해킹이 아닌 중국 국적의 직원 소행인 것으로 파악됐다고 했지만, 회사 책임을 개인 일탈로 돌리는 것 아니냐는 비난까지 나온다.
쿠팡은 30일 “해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근해 고객 계정 3370만개가 무단으로 노출됐다”며 “회사에서 근무하다 퇴사한 중국 국적의 직원이 누출한 것으로 파악됐다”고 밝혔다.
쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 했다. 처음엔 피해 고객 계정이 4500여개라고 발표했지만, 9일 만에 피해 규모가 7500배인 3370만개로 정정하면서 사고 대응에 대한 신뢰에 금이 갔다.
쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)은 2470만명인데, 이보다 많은 것으로 보아 사실상 전체 고객의 정보가 유출된 것으로 추정된다.
쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위원회로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘고, 지난 2011년 약 3500만명의 정보 유출 사태를 빚은 싸이월드·네이트 사례와 맞먹는다.
추가 피해가 더 나오는 게 아니냐는 우려도 커지고 있다. 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼, 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다.
보안 사고가 터졌던 다른 기업들도 당국의 조사가 진행되면서 피해 규모는 더 커졌다.유출된 쿠팡 고객정보를 악용한 스미싱·보이스피싱 등 2차 피해도 우려된다.
이번 쿠팡 사태가 뒷걸음질 치고 있는 보안투자와 무관치 않다는 지적도 나온다. 한국인터넷진흥원(KISA)의 정보보호 투자 공시에 따르면, 쿠팡의 정보기술부문 투자 대비 정보보호부문 투자 비율은 최근 4년간 꾸준히 줄었다. 정보기술부문 투자 대비 정보보호부문 투자 비율은 2022년 7.1%에서 2023년 6.9%, 2024년 5.6%로 떨어졌고, 올해 4.6%까지 내려왔다.
773개 정보보호 투자 공시 기업들의 총 정보기술부문 투자 대비 정보보호부문 투자 비율 평균인 6.28%에도 못 미친다. 정보기술부문 인력 중 정보보호 인력이 차지하는 비중도 2024년 7.5%에서 올해 6.9%로 낮아졌다.
정보보호와 관련된 유명무실한 정부 인증 제도도 도마 위에 올랐다. 국회 정무위원회 소속 한창민 사회민주당 의원에 따르면, 쿠팡은 정보보호 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 두 차례나 취득하고도 올해까지 4건의 개인정보 유출 사고를 냈다.
개인정보위가 장관급 중앙행정기관으로 격상된 2020년 이후부터 이달까지 총 27개의 ISMS-P 인증 기업에서 34건의 개인정보 유출 사고가 발생했다.
보안 업계 한 전문가는 “전직 외국인 직원이 사실상 쿠팡 고객 전체 계정에 접근해 유출했다는 해명이 쉽게 이해되지 않는다”며 “일개 외국 직원의 소행이 사실이라면 회사의 정보보안이 허술하다는 방증이고, 그렇지 않다면 개인 일탈로 돌리는 ‘꼬리자르기’로 보인다”고 지적했다.
출처 : 디지털타임스 https://n.news.naver.com/article/029/0002996504