정부 조사에서 드러난 쿠팡의 대규모 고객 정보 유출 실태는 알려진 것보다 심각했다. 어제 과학기술정보통신부는 쿠팡 접속 기록(로그)이 있는 6642억건에 대한 데이터 분석 결과를 통한 민관합동조사단 조사결과를 발표했다. 이에 따르면 당초 정부가 추정하던 대로 고객 3367만여명의 성명·이메일 등 개인 정보 유출이 공식 확인됐다. ‘공격자’로 지칭된 퇴직자가 들여다본 배송지 주소 등의 정보도 무려 1억5000만건에 달하는 것으로 파악됐다. 내부 보안 관리 전반의 취약성을 고스란히 드러냈다는 비난을 들어도 할 말이 없을 것이다.

보안 시스템 곳곳이 구멍투성이였다. 퇴직자가 제집 안방 드나들 듯 개인 정보를 빼내도 쿠팡 측은 이용자 인증체계와 키 관리체계, 정보보호 관리체계의 허점조차 모르고 있었다. 퇴직자는 재직 당시 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 맡은 개발자였다. 지난해 1월부터 쿠팡 서버의 인증 취약점을 발견하고 공격 여지를 시험한 뒤 지난해 4월 14일부터 본격적인 무단 유출에 나섰다. 자신이 관리한 ‘서명 키’를 훔쳐 전자출입증을 위·변조해 무단 접속했다. 동일한 서버사용자 식별번호를 반복적으로 사용하는 대범함을 보였는데도 차단은커녕 탐지조차 못 한 것도 문제다. 심지어 정부의 자료 보전 명령을 어기고 속기록 자동 로그 기록까지 삭제했다니 기가 찰 일이다.

이뿐이 아니다. 배송지 정보에는 계정 소유자뿐 아니라 가족·지인 등 제3자의 이름·전화번호·주소가 포함될 수 있다는 게 조사단의 판단이다. 여기에 쿠팡이 뒤늦게 자체 신고한 16만5000여 계정 유출 건은 포함되지 않았다. 피해 범위가 늘어날 가능성이 크다는 얘기다. 이번 사건은 일개 기업의 보안 사고 범주를 넘어섰다.

그런데도 쿠팡은 반성보다는 국내 사법 질서를 무시하며 돈만 벌면 된다며 버티고 있다. 최고 책임자인 쿠팡 Inc 김범석 의장은 ‘해외 체류’를 이유로 사과문 하나 내고 입을 닫고 있다. 개인 정보를 기업 자산처럼 여기는 건 소비자를 우롱하는 처사다. 정치권에서 대형마트 새벽 배송 허용 움직임이 나오는 것도 쿠팡이 자초한 일이다. 더는 미국 기업임을 앞세워 로비를 통해 한·미 통상 문제로 끌고 가려 해서는 안 된다. 정부는 외교 문제와는 별개로 개인정보의 외부 유출 여부 등 진상 파악과 책임 묻기에 소홀함이 없어야 할 것이다. 미국 시민권 뒤로 숨은 김 의장이 결자해지하는 자세를 보여야 한다.