12일간 침해 사실 인지 못해… 탐지·통지 지연 논란에 보안 체계 전면 재점검 불가피

[로컬세계 = 임종환 기자] 국내 최대 이커머스 기업 쿠팡에서 약 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러나며 이용자들의 불안이 커지고 있다.

유출 정보 가운데에는 이름과 전화번호, 이메일, 배송지 주소, 최근 주문 내역 등 일상생활과 직결되는 정보가 광범위하게 포함된 것으로 확인됐다. 결제 정보나 비밀번호 등 민감 금융정보는 제외됐다고 회사 측은 밝혔지만, “전 고객 상당수가 노출됐을 가능성이 높다”는 점에서 파장은 더욱 커지고 있다.

이번 사고가 특히 논란을 키운 것은 ‘늦어진 탐지와 대응’이다. 최초 침해 정황은 11월 6일 오후 6시 38분경 감지됐음에도, 쿠팡 내부에서 이를 공식 인지한 시점은 12일이 지난 11월 18일 밤 10시 52분이었다. 유출 사실 통지 역시 일부 이용자에게만 순차적으로 이뤄지면서, 고객들은 “내 정보가 언제부터, 얼마나 유출됐는지조차 알 수 없다”고 지적했다.

사건 초기 쿠팡은 약 4,500명 고객 정보만 노출된 것으로 공지했으나, 추가 조사에서 전체 유출량이 3,370만 건에 달하는 것으로 집계되며 사실상 ‘전 고객 규모’라는 평가가 나왔다. 일부 피해 고객들은 이미 쿠팡을 사칭한 문자·전화가 잇따른다며 2차 피해 우려를 제기하고 있다.

쿠팡은 유출 경로로 지목된 해외 서버와의 비정상적 접근을 차단하고, 외부 보안 전문기관을 투입해 시스템을 재점검하겠다고 밝혔다. 하지만 업계에서는 “탐지 지연은 단순 기술적 문제를 넘어 구조적 보안 관리 미흡을 의미한다”며 “기업 대형화에 비해 개인정보 보호 역량은 충분히 따라가지 못하고 있다”고 비판한다.

한편 서울경찰청 사이버수사과는 쿠팡이 제출한 고소장을 접수하고 수사에 착수했다. 외부 해킹뿐 아니라 내부자 또는 외부 협력 인력의 개입 가능성도 열어두고 분석을 진행 중이다.

이번 사건은 대형 플랫폼 기업이 보유한 개인정보 규모가 커질수록 사고의 파급력이 기하급수적으로 커진다는 사실을 다시 한번 보여줬다는 평가다. 전문가들은 “기업의 상시 모니터링 체계 강화, 사고 발생 즉시 이용자에게 통지하는 투명성 확보, 개인정보 최소 보유 원칙 등 제도적 보완이 필요하다”고 지적한다.

쿠팡 개인정보 유출 사태는 단순한 보안 사고를 넘어 ‘플랫폼 시대 개인정보 보호’라는 오래된 과제를 다시 정면으로 드러냈다. 이용자 신뢰 회복을 위해 기업과 정부 모두 보다 강력한 대응 체계 정비가 요구되는 시점이다.

로컬세계 / 임종환 기자 lim4600@naver.com

[ⓒ 로컬(LOCAL)세계. 무단전재-재배포 금지]