[푸드투데이 = 황인선기자] 국내 이커머스(전자상거래) 시장 점유율 1위 업체인 쿠팡에서 3,370만 명의 개인정보가 외부에 유출된 사실이 드러나면서 소비자 불안이 커지고 있다. 특히 5개월간 비인가 조회가 이어졌음에도 회사가 이를 뒤늦게 인지한 것으로 확인되자 대응 부실 논란이 확산하고 있다. 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회(위원장 최민희) 현안질의에서 공개된 의원 질의와 정부·쿠팡의 답변을 토대로 현재까지 확인된 핵심 사실을 정리했다.
침해는 언제부터, 어떻게 발생했나
쿠팡 침해사고는 올해 6월 24일 비정상적인 정보 조회가 발생하면서 시작됐다. 이후 11월 8일까지 약 5개월간 고객정보가 반복적으로 비인가 조회됐으나 쿠팡 내부 시스템은 이를 감지하지 못했다.
쿠팡이 사고를 최초 인지한 시점은 11월 19일 밤 9시 35분, 고객 불만 접수(VOC)를 통해서였다. 쿠팡은 그제서야 과학기술정보통신부와 한국인터넷진흥원(KISA)에 침해사고를 신고했고, 정부·수사기관이 합동 분석에 착수했다.
여야 의원들은 “5개월간 아무런 탐지·경보조차 작동하지 않은 것은 기본 보안체계가 무너진 것”이라고 강하게 질타했다.
유출 규모는 얼마나 되나…‘3370만 명’이 전부가 아니다
쿠팡은 전수 로그 분석 결과 3,370만 계정이 비인가 조회됐다고 설명했다. 그러나 국회에서는 “명수 기준으로 유출 규모를 설명하는 것은 사건 축소로 이어질 수 있다”는 비판이 이어졌다.
황정아 의원은 “이름·이메일·주소·배송지·전화번호·주문정보 등 최소 5개 항목이 조회됐다. 이를 단순 계산하면 1억 5천만 건 이상의 개인정보가 유출된 것”이라며 “3370만 명이라고 퉁칠 사안이 아니다”라고 지적했다. 이어 “개인정보가 항목별로 몇 건씩 노출됐는지 건수 기준으로 정확히 산정해 의원실에 제출하라”고 쿠팡과 정부에 요구했다.
의원들은 “유출 규모를 명수가 아닌 건수로 공개하지 않으면 사건 축소 의도를 의심할 수밖에 없다”고 비판했다. 특히 쿠팡이 사고 초기에는 “4,536개 계정”만 문제가 있다고 신고했다가 뒤늦게 수천만 명 규모로 정정한 점, 공지에서 ‘유출’ 대신 ‘노출’이라는 표현을 사용한 점 등을 두고 “쿠팡의 대응은 물타기·은폐 시도로 읽힌다”고 지적했다.
일부 의원들은 이번 사태를 “국민 4명 중 3명이 피해를 본, 국내 최대급 정보보안 사고”라고 규정하며 엄정 조치를 촉구했다.
어떤 정보가 노출·유출됐나
지금까지 정부와 쿠팡이 확인한 비인가 조회 정보는 ▲이름, ▲휴대전화 번호, ▲이메일, ▲배송지 주소(일부 공동현관 비밀번호 포함), ▲과거 주문·배송 이력 일부다.
반면, ▲결제카드 번호, ▲계좌정보, ▲쿠팡 계정 비밀번호, ▲주민등록번호, ▲개인통관고유부호 정보는 유출 정황이 없는 것으로 확인됐다는 것이 쿠팡의 공식 설명이다.
다만 일부 의원들은 “결제정보가 유출되지 않았다는 근거가 아직 제한적”이라며 “결과를 성급하게 단정할 단계가 아니다”라고 지적했다.
사고 원인은 무엇인가…‘퇴사 개발자 서명키 방치’
이번 사고의 원인은 쿠팡 내부 ‘서명키(Signing Key)’ 관리 부실로 확인됐다. 서명키는 이용자 인증 토큰을 검증하는 핵심 암호키로, 외부로 유출될 경우 정상 사용자처럼 위장해 고객정보에 접근할 수 있다.
과방위 질의에 따르면, 쿠팡은 퇴직한 개발자 계정의 서명키를 폐기하거나 교체하지 않고 방치했고, 이 키가 외부로 유출돼 공격자가 정상 인증을 가장하는 데 활용된 것으로 파악됐다.
전문가들은 이번 사고의 구조를 “호텔 마스터키가 외부로 유출된 것과 같다”고 설명했다. 김승주 고려대학교 교수는 국회에서 “호텔에 들어갈 때 신원 확인 후 방 키를 발급받듯 쿠팡도 인증 절차에 따라 이용자에게 ‘키’를 발급하는 시스템”이라며 “문제는 호텔 방키를 발급하는 비밀번호(서명키)를 내부 개발자가 갖고 나간 상황과 같다”고 지적했다.
이어 “해당 비밀번호가 유출되면 무한대로 방키를 만들 수 있어 고객정보를 마음대로 조회할 수 있게 되는 구조”라며 “퇴사 직원의 권한과 키를 즉시 폐기·리셋하지 않은 것은 보안 관리의 가장 기본을 지키지 않은 것”이라고 말했다.
왜 '유출'이 아닌 ‘노출’이라고 했나…국회 “축소 프레임”
쿠팡은 사고 공지 단계에서 “개인정보 노출 가능성”이라는 표현을 사용했다. 의원들은 “유출과 노출은 법적 의미가 다른데 기업 책임을 줄이기 위해 의도적으로 표현을 낮춘 것 아니냐”고 따져 물었다.
박대준 쿠팡 대표는 “혼선을 드린 표현이었다”며 과방위에서 “이번 사고는 개인정보 유출이 맞다”고 공식 정정했다.
결제 피해로 이어질 가능성은
결제·금융정보 유출 정황은 현재까지 확인되지 않았지만 2차 피해 위험은 상당하다는 것이 정부와 전문가들의 공통된 판단이다. 이름·전화번호·주소·주문 정보 등이 함께 노출될 경우 스미싱, 보이스피싱 등 정교한 맞춤형 사기에 악용되기 쉽다.
특히 일부 배송지에는 공동현관 비밀번호가 포함돼 있어 주거침입·스토킹 등 물리적 범죄로 이어질 가능성도 제기된다. 국회에서도 “배송지 정보는 생활 동선과 직결되는 민감 정보”라며 우려를 드러냈다.
전문가들은 “이번 유출 정보는 피해자 실명 기반으로 사칭 메시지를 만들기 용이해 ‘쿠팡 환불 안내’ 등을 사칭한 공격이 늘어날 수 있다”고 경고했다.
일부 의원 역시 “이번 사고는 단순한 데이터 유출을 넘어 국민 생활·신체 안전까지 위협할 수 있는 수준”이라고 강조했다.
쿠팡 박대주 대표 해명과 입장은
박대준 쿠팡 대표는 유출 사고 대응 과정과 책임 문제에 대한 질의에 “이번 사태로 불안과 불편을 겪고 계신 고객들께 깊이 사과드린다”며 책임을 인정했다.
그는 우선 사고 공지 방식과 관련해 “초기에는 배너 형태의 안내와 팝업 공지를 통해 사과문을 게시했고, 해당 공지 기간 종료 후에는 2차 피해 우려와 고객 문의 증가에 대응하기 위해 보다 상세한 안내와 사과문을 이메일로 별도 발송하는 준비를 하고 있다”고 설명했다.
이어 “현재 사태 수습에 최선을 다하고 있으며, 한국 법인에서 발생한 일에 대해서는 제가 책임을 져야 한다고 생각한다”고 밝혔다. 박 대표는 “사고를 예방하기 위해 내부적으로 여러 조치를 취해 왔으나 이번 사태를 막지 못한 점은 변명의 여지가 없다”며 “참담하고 송구스러울 뿐”이라고 말했다.
또한 그는 “이렇듯 중대한 정보유출이 발생한 것에 대해 두 번, 세 번 사과드릴 수밖에 없다”며 “재발 방지를 위한 내부 보안 점검과 제도 개선에 모든 역량을 투입하겠다”고 강조했다.
쿠팡은 어떤 책임을 지게 되나
개인정보보호위원회는 쿠팡에 대해 매출액의 최대 3% 과징금을 부과할 수 있다고 밝혔다. 쿠팡의 지난해 매출(약 41조 원)을 기준으로 하면 최대 1조 원대 과징금이 가능하다.
여야 의원들은 “반복되는 대형 플랫폼의 개인정보 사고를 고려하면 영업정지 등 강도 높은 제재도 검토해야 한다”고 주장했다.
정부는 이번 사고를 계기로 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 제도 개편, 징벌적 손해배상 강화, 플랫폼 보안기준 재정비 등 전반적 제도개선에 나서겠다고 밝혔다.
소비자가 지금 확인해야 할 것
전문가들은 “이번 사고로 노출된 정보 중 일부는 소비자가 스스로 변경할 수 있는 만큼, 가능한 항목은 신속히 교체하는 것이 피해 확산을 막는 최선의 대응”이라고 조언했다.
우선 쿠팡 계정 비밀번호를 즉시 변경하고, 다른 온라인 서비스와 동일한 비밀번호를 사용하고 있었다면 모두 교체하는 것이 필요하다.
또한 최근 주문·환불·결제 내역을 수시로 확인해 본인이 하지 않은 활동이 있는지 점검해야 하며, ‘쿠팡 배송 오류’나 ‘환불 안내’를 사칭한 문자 링크는 열지 않는 것이 안전하다. 배송지에 공동현관 비밀번호가 저장돼 있었던 이용자는 해당 비밀번호도 함께 변경할 것이 권고된다.
쿠팡 침해사고는 단순한 데이터 유출을 넘어 대형 플랫폼의 보안 체계와 정부의 감시·대응 시스템 전반을 시험하는 사건으로 번지고 있다. 국회는 추가 조사 결과를 바탕으로 후속 청문회·제도 정비 여부를 검토할 예정이다.
