정부, 쿠팡 현장 조사 중
‘정상 로그인 없이 정보 유출’
온라인서 집단소송 움직임

이번 쿠팡의 정보 유출은 특히 사고를 인지하기까지 5개월이나 걸렸다는 데 대한 비판이 거세다. 회사의 깜깜이 대응에 실망한 소비자들은 집단소송 등 단체 행동에 나설 움직임도 보이고 있다.

30일 쿠팡에 따르면 고객 계정과 관련된 개인정보 무단 접근은 지난 6월 24일부터 시작됐지만, 쿠팡은 이를 지난 18일에야 인지하게 됐다.

쿠팡은 그동안 공격자 입장에서 취약점을 찾는 ‘레드팀’과 선제적 위협 탐지·대응을 맡은 ‘고스트팀’을 운영하면서 수준 높은 보안 조직을 갖췄다고 홍보했지만 정작 개인정보 노출 기간이나 사고 발생 원인에 대해서는 ‘조사 중’이라며 함구하고 있다.

쿠팡 측은 “현재까지 2차 피해는 보고된 바 없다”고 했지만 소비자의 불안과 불신은 확산하고 있다.

민관합동조사단을 꾸리고 쿠팡 본사에서 현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다고 짚었다.

이날 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다.

정부는 회의에서 국가 배후 범죄 가능성에 대해서도 논의했으며, 쿠팡 서버에서 악성코드는 발견되지 않았다고 밝혔다. 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정 제재할 방침이다.



이번 사고가 쿠팡의 내부 직원 소행이라는 추측이 나오면서 내부 보안 대책에 허점이 있었다는 비판도 피할 수 없게 됐다. 특히 수천만명의 정보가 새 나가는 동안 자체적으로 부정·불법 행위를 탐지해 내지 못할 정도로 쿠팡 서버의 모니터링 체계가 미흡했다는 지적이 나온다.

염흥열 순천향대 정보보호학과 명예교수는 “유출자가 직장 상사 등의 ID와 비밀번호를 확보해 타인의 접근 권한까지 가졌을 가능성이 있다”며 “서버 접속 과정에서 2차 인증이 필요한데도 1차 인증만으로 통과되는 등 인증 체계의 취약점이 추정된다”고 말했다.

쿠팡의 책임과 보상을 촉구하기 위한 소비자 움직임도 확산하고 있다. 지난 29일 네이버에 개설된 ‘쿠팡 정보유출 집단소송 카페’ 운영진은 “3370만명이 피해를 본 초유의 사태에 대해 법적 책임을 묻고 공동 대응 방안을 마련하겠다”며 출범 취지를 밝혔다.

카카오톡에서 ‘쿠팡 정보유출 피해자 모임’ 채팅방을 개설한 이모(49)씨도 “개인의 힘으로는 거대 기업인 쿠팡의 안일한 대응에 맞서기 어렵다고 판단했다”면서 “집단 분쟁 조정 신청이나 공동소송까지 고려하고 있다”고 설명했다.

손해배상 집단소송을 준비 중인 김경호 변호사(법무법인 호인)는 “핵심 쟁점은 쿠팡이 개인정보보호법 제29조에 따른 ‘안전조치의무’를 다했는지 여부”라면서 “해킹 기술이 고도화됐다 하더라도 쿠팡이 당시 기술 수준에서 요구되는 접근 통제, 접속 기록 보관, 암호화 조치 등을 소홀히 했다면 과실이 인정된다”고 주장했다.