'한국의 아마존'이라 불리는 국내 이커머스 1위 기업 쿠팡에서 창사 이래 최대 규모의 개인정보 유출 사고가 발생했다.

유출된 개인정보 규모만 3,370만 건에 달해, 사실상 전 국민의 절반 이상이자 경제활동인구 대부분의 정보가 뚫린 것으로 파악된다.

# "활성 고객보다 많은 유출"…휴면 계정까지 털렸다

1일 쿠팡과 경찰, IT 업계에 따르면, 이번 유출 사고로 피해를 입은 계정 수는 약 3,370만 개다.

이는 쿠팡의 최근 활성 고객 수(약 2,470만 명)를 훨씬 웃도는 수치로, 현재 서비스를 이용하지 않는 휴면 계정이나 탈퇴 임박 계정의 정보까지 대거 포함된 것으로 분석된다.

유출된 정보 항목은 ▲고객 이름 ▲휴대전화 번호 ▲이메일 주소 ▲배송지 주소 등이다.

일부 고객의 경우 주문 이력 정보까지 포함된 것으로 알려져, 이를 악용한 보이스피싱이나 스미싱 등 2차 피해 우려가 급속도로 확산되고 있다.

다만 쿠팡 측은 "비밀번호와 신용카드 번호 등 민감한 결제 정보는 별도로 암호화되어 있어 이번 유출 대상에 포함되지 않았다"고 해명했다.

# '내부자 리스크'에 속수무책…5개월간 몰랐다

이번 사고의 원인은 외부 해킹이 아닌 '내부 보안 구멍'인 것으로 드러나 충격을 주고 있다.

경찰청 사이버수사대는 이번 사건의 유력한 용의자로 쿠팡 본사에서 근무하다 퇴사한 중국 국적의 전직 개발자 A씨를 지목하고 수사망을 좁히고 있다.

조사 결과, 유출은 지난 6월 24일부터 11월 초까지 약 5개월에 걸쳐 지속적으로 이뤄졌다.

A씨는 재직 당시 확보한 시스템 접근 권한(액세스 토큰 및 키)을 퇴사 후에도 반납하거나 폐기하지 않고 악용해 해외 서버를 통해 데이터를 빼돌린 것으로 추정된다.

문제는 쿠팡 측이 11월 18일 최초 인지 시점까지 장장 147일 동안 대규모 데이터가 빠져나가는 것을 전혀 감지하지 못했다는 점이다.

당초 11월 18일에는 피해 규모를 4,500명 수준으로 파악했으나, 정밀 조사 결과 피해 규모가 7,000배 이상 늘어난 3,370만 명으로 확인되며 '보안 무능' 논란을 피하기 어렵게 됐다.

# 정부 "엄중 처벌"…역대급 과징금 예고

사태의 심각성을 인지한 정부는 즉각 대응에 나섰다. 개인정보보호위원회와 과학기술정보통신부는 지난 30일 긴급 관계부처 회의를 열고 민관합동조사단을 꾸려 쿠팡 본사에 대한 강도 높은 현장 조사에 착수했다.

박대준 쿠팡 대표는 정부서울청사를 찾아 "고객분들께 큰 심려를 끼쳐드려 진심으로 사과드린다"며 고개를 숙였지만, 여론은 싸늘하다.

업계에서는 이번 사태가 과거 네이트·싸이월드 해킹(3,500만 명)이나 최근 SK텔레콤 유출 사건을 뛰어넘는 역대 최악의 개인정보 보안 사고로 기록될 것으로 보고 있다.

개인정보보호법 위반이 확인될 경우, 쿠팡은 매출액의 3%에 해당하는 수천억 원대의 '징벌적 과징금'을 부과받을 가능성도 제기된다.

보안 전문가들은 "단순한 해킹 사고가 아니라 내부 접근 통제(IAM) 실패가 부른 인재"라고 지적하며, "피해 고객들은 출처가 불분명한 문자나 이메일 열람을 자제하고, 비밀번호를 변경하는 등 각별한 주의가 필요하다"고 당부했다.