“쿠팡 회원 탈퇴했어요.” “어쩐지 요즘 스팸 전화가 많이 오더라니….”

쿠팡에서 이름·전화번호·주소 등 개인정보 3370만개가 무단으로 빼돌려진 사실이 알려지자 국민 불안이 커지고 있다. 사실상 전체 고객이 피해를 본 상황이라 온라인 공간에서는 쿠팡의 늦장대처에 대한 성토와 보상책 요구 목소리가 커지고 있다. 이번 유출이 중국 국적인 내부 직원의 소행으로 추정되는 가운데 쿠팡 측은 이날 대표이사 명의의 사과문을 발표했다.

◆분노한 고객들 “탈퇴”… 쿠팡 측 ‘선 파악·후 보상’

쿠팡에서 국민 4명 중 3명에 해당하는 3370만개의 개인정보가 유출된 사실이 알려진 30일 온라인 공간에서는 2차 피해에 대한 우려와 성토 여론이 이어졌다. 이날 인터넷 커뮤니티에는 “저도 유출 안내 문자 받았다.” “쿠팡에서 회원 탈퇴했다” “요즘 유독 스팸 전화가 많이 오던데 쿠팡 때문이었나 싶다” 등의 글이 속속 올라왔다. 올해 SK텔레콤, KT, 예스24, GS리테일, 디올·티파니·까르띠에·루이비통 등의 고가 브랜드까지 개인정보 유출 사태가 줄이었음에도 고객 보상 수준은 기대에 못 미친 상황에서 쿠팡이 하루 빨리 보상안을 마련해야 한다는 요구도 거셌다.

박대준 쿠팡 대표이사는 30일 정부서울청사에서 취재진과 가진 질의응답에서 고객 보상에 대해 “피해자와 피해 범위, 유출 내용을 명확히 확정하는 게 우선”이라며 “그 다음 급한 것은 재발 방지 대책이다. 이런 부분이 확정되면 그 다음 피해에 대해 합리적 방안을 성실히 수행할 수 있을 것”이라고 대답했다. 그러면서 “내부 조사 결과를 정부 기관에 투명하게 제공하고 협력하고 있다”며 “저희 혼자 단정 짓기에는 이 사안이 너무 크고 강제력이나 공권력도 필요하다. 같이 조사하고 협력해 결론을 내는 게 최선”이라고 했다.

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. 사진은 30일 쿠팡이 피해 고객에게 보낸 개인정보 노출 통지 문자 메시지. 연합뉴스

쿠팡은 전날 오후 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”며 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다”고 발표했다. 쿠팡은 지난 20일에는 정보 유출 피해 고객 계정이 4500여개라고 발표했으나, 9일 만에 규모를 7500배 수준으로 정정했다. 쿠팡은 유출된 정보가 고객 이름과 이메일, 전화번호, 배송지 주소, 특정 주문 정보라고 밝혔다.

◆정부 ‘서버 악성코드는 미발견…국가 배후 해킹 등 가능성 열어놔’

정부는 30일 정부서울청사에서 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 관계 부처 긴급 대책회의를 열고 “지난 19일 쿠팡으로부터 침해 사고 신고를 받았고, 지난 20일 개인정보유출을 신고받은 이후 현장 조사를 진행 중”이라고 전했다. 배 장관은 “정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관합조단을 가동하고 있다”며 “쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중에 있다”고 했다. 신고를 받은 개인정보보호위도 현재 관련 조사를 진행 중이다. 서울경찰청 사이버수사대 역시 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받고 수사에 착수했다.

정부는 현재까지 쿠팡 서버에서 발견된 악성코드는 없다고 밝혔다. 또 정보 유출이 서버 해킹을 통해 이뤄졌는지 다른 공격 방식이 동원됐는지 단정하기 이른 단계라고 설명했다. 최우혁 과기부 네트워크정책실장은 “공격 방식이 다양하기 때문에 유출이다 해킹이다 단정적으로 말하긴 어렵다. 과거 특정 사례에서 내부자가 정보를 들고 나가는 케이스도 있었고 (인증) 계정을 가지고 하는 경우도 있었다”고 말했다.

정부는 쿠팡이 금융 정보가 유출되지 않았다며 정보 변경 필요가 없다고 밝힌 데 대해 조사 결과를 더 지켜봐야 하는 상황이라고 했다. 아울러 국가 배후 해킹 공격 등 다양한 가능성을 모두 열어놓고 접근 중이라고 밝혔다.

이번 정보 유출은 해킹이 아닌 쿠팡 내부 직원 소행이라는 추정이 나오고 있다. 이 직원은 중국 국적으로 이미 쿠팡을 퇴사하고 한국을 떠난 것으로 전해졌다. 쿠팡 측이 경찰에 제출한 고소장에는 피고소인이 특정되지는 않고 ‘성명불상자’로 기재됐다. 박대준 대표는 이에 대해 “수사 영역이고 수사에 적극 협조 중”이라며 “그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다”고 말했다.

박대준 쿠팡 대표이사가 30일 오후 서울 종로구 정부서울청사에서 열린 쿠팡 개인정보 유출 관련 긴급 관계부처 장관회의에서 참석하며 쿠팡 이용자에게 사과 발언한 뒤 고개숙여 인사하고 있다. 뉴스1

쿠팡은 30일 박대준 대표이사 명의의 사과문을 내고 공식 사과했다. 쿠팡 측은 “올해 6월 24일 시작된 쿠팡의 최근 사고에 유감을 표명한다”며 “국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다”고 밝혔다.

‘쿠팡 퇴직금 불기소 외압 의혹’이 특검 수사를 받게 된 가운데 대규모 정보 유출 사태까지 터지면서 쿠팡은 연이어 악재를 맞게 됐다. 퇴직금 불기소 외압 의혹은 지난 4월 중부지방고용노동청 부천지청이 기소 의견으로 송치한 쿠팡 물류 자회사 쿠팡풀필먼트서비스(CFS) 퇴직금 미지급 사건을 인천지검 부천지청이 불기소 처분했다는 내용이다. 이 사건을 수사한 문지석 부장검사는 지난달 국회 국정감사에서 상급자인 당시 엄희준 지청장과 김동희 차장검사가 무혐의 처분을 하라고 압력을 행사했다고 폭로했다.