쿠팡 "해외 서버 통해 지난 6월부터 개인정보 접근"
정보·개인정보 보호 관리체계 인증받고도 유출 반복
당국 민관 합동조사단 꾸리고 사고 원인 조사 착수
쿠팡에서 대규모 개인정보 유출사고가 발생한 가운데 피해 규모가 더 커질 수 있다는 우려가 높아지고 있다. 지난 6월 고객정보 탈취 시도가 시작된 것으로 확인됐기 때문이다. 당국은 유출 정보를 악용한 2차 피해가 일어날 가능성이 있다고 보고, 소비자에 사칭 스미싱·보이스피싱을 주의할 것을 당부했다.
◆6월부터 탈취 시도, 피해 늘어날 수도
쿠팡은 지난 29일 공지문을 통해 "고객 계정 약 3천370만개가 무단으로 노출된 것으로 확인됐다"면서 "현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다"고 밝혔다. 쿠팡은 지난 20일 정보유출 피해고객 계정이 4천500여 개라고 발표한 바 있다. 9일 만의 재공지에서 피해 규모가 7천500배 수준으로 불어난 것이다.
쿠팡이 개인정보 무단 노출 사실을 인지한 건 지난 18일이다. 이후 후속 조사에서 확인된 피해 규모가 크게 늘어난 점은 앞으로 조사 과정에 추가 피해가 더 확인될 수 있다는 지적을 사는 대목이다. 고객정보 탈취 시도가 5개월 전인 지난 6월 시작된 만큼 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다.
앞서 다른 기업에서 발생한 침해사고에서도 피해 규모는 조사가 진행되면서 확대되는 모습을 보였다. 사이버 침해사고를 겪은 롯데카드는 지난 9월 4일 사과문에서 "현재까지 조사 결과에서 고객정보 유출 사실은 확인되지 않았다"고 공지했다가 2주 후인 18일 기자회견에서 "카드번호, 유효기간, 카드고유 확인번호(CVC) 등의 유출이 확인됐다"고 밝히기도 했다.
◆정보 보호체계 인증에도 유출사고 4건
쿠팡이 정보보호·개인정보 보호 관리체계를 인증받고도 여러 차례 정보 유출사고를 낸 것으로 확인되면서 인증제도 효과가 미흡하다는 지적도 나오고 있다. 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회에 받은 자료에 따르면 쿠팡은 지난 2021년과 지난해 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)을 받고도 올해까지 4건의 정보 유출사고를 냈다.
ISMS-P 인증은 과학기술정보통신부와 개인정보위가 운영하는 정보보호·개인정보 보호 관리체계 인증제도다. 쿠팡은 2021년 3월 처음 인증을 받았고, 지난해 3월 갱신 인증을 받았다. 인증 범위는 '로켓배송' '쿠팡이츠' 등 서비스 전체다.
그러나 유출사고는 인증을 취득한 후에도 이어졌다. 2020년 8월~2021년 11월에는 쿠팡이츠 배달원 13만5천명의 개인정보가 유출됐다. 쿠팡은 2019년 11월 배달원의 개인정보 보호를 위해 음식점에 안심번호만 전송하는 방식으로 정책을 바꿨다고 밝혔으나 2021년 11월까지 배달원 실명과 휴대전화번호 등을 전달한 것으로 파악됐다.
지난 2023년 12월에는 쿠팡이 운영하는 판매자 전용 시스템 '윙(Wing)'에서 로그인 시 특정 판매자에게만 보여야 하는 주문자·수취인 2만2천440명의 개인정보가 다른 판매자에게 노출되는 사고가 발생했다.
일각에선 ISMS-P 제도의 사고 예방 효과가 미흡한 것 아니냐는 지적을 제기한다. 한 의원은 "국정감사에서도 지적했듯이 개인정보 유출 예방 제도로서 ISMS-P 인증의 효과에 강한 의구심이 든다"며 "개인정보위는 인증 제도를 보완할지, 새로운 예방 제도를 도입할지 결단해야 한다"고 했다.
◆당국, 민관 합동조사단 통해 조사 착수
과기정통부는 민관 합동조사단을 꾸려 쿠팡 개인정보 유출사고 원인 등을 조사하고, 재발 방지 대책을 마련할 계획이다. 개인정보위는 쿠팡으로부터 지난 20일과 29일 두 차례에 걸쳐 신고를 접수해 조사를 진행하고 있다. 유출 정보에 국민 다수의 연락처, 주소 등이 포함된 만큼 가능한 한 빠르게 조사하고, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다.
당국은 유출 정보를 악용한 '스미싱' 등 2차 피해를 방지하기 위해 대국민 보안 공지도 발령했다. 한국인터넷진흥원(KISA)은 29일 보안 공지를 통해 "'피해보상', '피해 사실 조회', '환불' 등 키워드를 활용한 피해기업 사칭 스미싱 유포 및 피해보상 안내를 빙자한 보이스피싱 등 피싱 시도가 예상된다"고 경고했다.
쿠팡은 30일 박대준 대표이사 명의로 사과문을 내고 공식 사과했다. 쿠팡은 "국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다"면서 "과기정통부, 개인정보위, KISA, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가 피해 예방을 위해 최선을 다하겠다"고 밝혔다.
쿠팡은 또 "모든 고객 정보를 보호하는 건 가장 중요한 우선순위"라면서 "향후 이러한 사건으로부터 고객 데이터를 더욱 안전하게 보호할 수 있도록 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다"고 덧붙였다.
