쿠팡 개인정보 유출 파장



前 중국인 직원, 인증업무 담당

고객 정보 유출 통로로 쓰인 듯

“관리 부실이 부른 인재” 지적



이용자들, 첫 집단 손배소 제기

강훈식 “징벌적 손배 강화 검토”

국내 이커머스(전자상거래) 업계 1위인 쿠팡에서 발생한 대규모 개인정보 유출은 ‘로켓배송’ 등 물류혁신과 편리함 뒤에 가려진 허술한 보안 관리 실태를 보여준다. 특히 이번 사태는 중국 국적의 전 쿠팡 직원이 장기간 방치된 유효 인증키를 악용해 3370만명에 달하는 개인정보를 탈취했다는 분석이 나오는 등 부실한 내부 보안 시스템과 정보 관리가 부른 인재(人災)라는 지적이 많다. 쿠팡을 상대로 한 집단 손해배상 소송이 시작된 가운데, 대통령실은 징벌적 손해배상제 강화 검토를 지시하며 유출 사태에 대한 엄중한 대응을 예고했다.

1일 서울 송파구 쿠팡 본사 부근 아파트에 쿠팡에서 발송된 택배 봉투가 놓여 있다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 연합뉴스

1일 국회 과학기술정보방송통신위원회 소속 더불어민주당 최민희 의원이 쿠팡으로부터 제출받은 자료에 따르면, 이미 쿠팡을 퇴사한 중국인 직원 A씨는 쿠팡 내에서 인증 업무를 담당했던 것으로 나타났다. 이 직원은 쿠팡 측이 제때 갱신하거나 폐기하지 않은 ‘액세스 토큰 서명키’를 이용해 퇴사 후에 범행을 저질렀다고 한다.

‘토큰’은 접속(로그인)을 위한 일회용 출입증이며, ‘서명키’는 이 출입증이 위조되지 않았음을 확인해주는 ‘인증 도장’ 역할을 한다. A씨가 퇴사 후 범행에 성공한 건 재직 당시 발급받은 서명키가 유효한 상태로 방치됐기 때문이라고 최 의원은 지적했다.

경찰은 쿠팡 고객 개인정보를 유출한 혐의를 받는 피의자를 추적 중이다. 서울경찰청 관계자는 “현재 쿠팡 측으로부터 서버 로그기록을 제출받아서 분석 중”이라며 “피의자가 범행에 사용한 IP를 확보해 추적 중”이라고 밝혔다. 경찰은 개인정보 유출 관련해 쿠팡 이용자들과 고객센터에 발송된 협박 이메일 계정 총 2건에 대해서도 접속기록 등을 추적 중이다.

유출 피해자 사이에선 쿠팡에 보상을 요구하는 집단 소송 움직임이 일고 있다. 이날 쿠팡 이용자 14명은 1인당 20만원씩의 위자료를 청구하는 내용의 소장을 서울중앙지법에 제출했다. 소송을 대리하는 곽준호 법무법인 청 대표변호사는 본지와 통화에서 “기다릴수록 소비자 피해 구제가 늦어질 수 있어 먼저 소송을 제기했다. 인원은 늘어날 것”이라며 “다른 법무법인에서도 유사한 소송이 줄지을 것”이라고 말했다. 이날 기준 쿠팡 상대 집단 소송을 준비하는 네이버 온라인 카페는 두 자릿수, 해당 카페들의 회원 수 총합은 25만명을 넘어섰다.

이번 쿠팡 사태가 국내에 전면적인 징벌적 손해배상 제도가 도입되는 계기가 될 수 있다는 분석도 나온다. 강훈식 대통령 비서실장이 이날 주재한 수석보좌관회의에서 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 주문해서다. 강 실장은 과학기술정보통신부와 개인정보보호위원회의 근본적인 제도 보완, 현장 점검 체계 재정비, 기업 보안 역량 강화 지원책 등을 신속히 보고해 달라고 지시했다.