국내 이커머스(전자상거래) 업계 1위인 쿠팡 회원 3370만여명의 계정 정보가 외부로 유출됐다. 경제활동 인구를 고려하면 사실상 전 국민의 정보가 잠재적 위협에 노출된 셈이다. 특히 이름과 전화번호는 물론 아파트 공동현관 비밀번호까지 싹 털려 2차 피해를 우려하는 목소리가 커지고 있다.

정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 이번 사태에 대한 수사에 착수했다.

1일 전문가들을 중심으로 쿠팡 개인정보 유출 사고는 ‘일상화된 위험’이 된 보안의 현주소를 적나라하게 보여준 사례로 꼽는다.

쿠팡측은 이번 사고로 유출된 정보가 고객의 이름, 이메일, 전화번호, 주소 그리고 일부 주문 정보라고 밝혔다. 현재까지는 신용카드 번호나 비밀번호 등 직접적인 금융 정보가 유출된 흔적은 발견되지 않았다는 것이다.

하지만 보안 전문가들은 단순한 아이디(ID) 노출보다 훨씬 심각하게 받아들인다. 이번에 노출된 정보는 시스템에 접근할 ‘열쇠’ 수준을 넘어 개인 실생활을 속속들이 파악할 수 있는 ‘고품질 데이터’이기 때문이다.

실명과 전화번호, 집 주소에 ‘무엇을 샀는지’에 대한 정보가 결합하면 범죄의 목표는 정교해진다. 예를 들어 구매한 전자제품에 대한 리콜 등을 미끼로 접근이 용이해진다.

◆직원 소행에 무게, 내부 통제 허점 = 또 다른 문제는 고객 정보 탈취 시도가 이미 5개월 전에 시작됐지만 쿠팡측에서는 이를 눈치채지 못했다는 점이다. 내부 통제 시스템에 허점이 컸다는 지적이 나오는 대목이다.

쿠팡은 지난달 18일 정보 유출을 인지하고 20일과 29일 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다.

과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난달 25일 쿠팡측으로부터 이번 사태에 대한 고소장을 받아, 개인정보 유출 사태에 대한 수사에 착수했다.

추가 피해가 더 있을 수 있다는 지적도 나온다. 보안 관련 사고가 발생한 기업들도 당국의 조사가 진행되면서 피해 규모가 더 커졌다.

쿠팡은 지난달 20일 피해 계정이 4500여개라고 발표했다가 29일 3370만개라고 다시 공지했다. 쿠팡 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)은 2470만명인데, 피해 고객은 이보다 900만명 많다. 최근 3개월간 구매 이력이 없는 고객까지 포함한 수치다.

이는 2011년 해킹으로 약 3500만명이 정보 유출 사태를 겪은 싸이월드·네이트 사례와 맞먹는다. 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)에 비해서도 규모가 훨씬 크다.

◆민관 합동 조사단 투입 = 한편 정부는 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 지난달 30일 정부서울청사에서 관계 부처 긴급 대책회의를 열고 철저한 사고 조사를 약속했다.

배 부총리는 이날 “정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관합동조사단을 가동하고 있다”며 “쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중”이라고 밝혔다. 그러면서 “이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했고, 금일부터 3개월간 ‘인터넷상 개인정보 노출 및 불법유통 모니터링 강화 기간’으로 운영한다”고 덧붙였다.

현재까지 쿠팡 서버에서 악성코드는 확인되지 않은 것으로 알려졌다.

정부는 쿠팡이 금융 정보가 유출되지 않았다며 정보 변경 필요가 없다고 밝힌 데 대해 조사 결과를 더 지켜봐야 하는 상황이라는 입장이다. 또 국가 배후 해킹 공격 등 다양한 가능성을 모두 열어놓고 접근 중이라고 밝혔다.

이날 회의에는 배 부총리와 윤창렬 국무조정실장, 송경희 개인정보보호위원장, 유재성 경찰청장 직무대행, 김창섭 국가정보원 3차장, 최우혁 과기정통부 네트워크정책실장 등이 참석했다.

박대준 쿠팡 대표도 비공개로 진행된 회의 도중 합류해 회사 측이 파악한 사고 경위와 대응 현황을 정부에 보고했다.

장세풍 기자 spjang@naeil.com