3370만명 고객 계정 정보 무단 유출
2차 피해 막고, 정보 보호책 강구해야

국내 최대 온라인 유통업체인 쿠팡에서 벌어진 3400만건 고객 정보 유출 사태의 파장이 일파만파다. 올 들어 금융사와 통신사 등에서 유사 사고가 잇따라 터져 가뜩이나 국민 불안이 꼭대기까지 차오른 터에 전 국민을 패닉으로 몰아넣은 최악의 사태가 아닐 수 없다. 국민 4명 중 3명이 해당하는 방대한 피해 규모가 무엇보다 충격적이다. 더욱 기막힌 것은 해외 서버를 통한 비정상 접속이 지난 6월 말부터 계속됐는데도 회사가 이를 5개월간 전혀 알아채지도 못했다는 사실이다. 로켓배송 등 속도와 혁신을 앞세워 초고속 성장한 거대 기업이 정작 디지털 사회의 기본적 신뢰 기반인 고객 정보 보호에는 한없이 굼뜨고 무능했다. 배신감과 분노를 넘어 허탈감까지 든다.

쿠팡은 지난 29일 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”면서 “해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정한다”고 밝혔다. 노출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문 정보이며 결제 정보와 신용카드 번호는 포함되지 않았다는 것이 쿠팡 측의 주장이다. 그러나 쿠팡은 지난 20일 개인정보보호위원회에 처음 신고할 당시 피해 계정을 4500여개로 보고했다가 9일 만에 사실상 전 회원 규모로 피해 범위를 대폭 수정했다. 앞으로 조사 결과에 따라 피해 규모가 더 늘어날 가능성도 배제할 수 없다.

정부는 민관 합동조사단을 꾸려 사고 원인 분석과 재발 방지 대책 마련에 나섰다. 유출 정보를 악용한 스미싱·보이스피싱 등 2차 피해에 대한 불안이 큰 만큼 이를 차단하기 위한 다각적 대응이 무엇보다 시급하다. 쿠팡은 이번 사태를 외부 해킹이 아닌 내부 직원의 소행으로 보고 경찰에 고소장을 제출했다. 만일 내부자 범죄가 맞다면 조직 관리 부실 책임은 더욱 무거울 수밖에 없다. 기업의 안이한 보안 의식 탓에 국민 전체가 잠재적 범죄 위험에 노출된 만큼 그에 상응하는 책임을 져야 한다.

쿠팡은 박대준 대표의 사과문을 통해 합동조사단과 긴밀히 협력하고 추가 피해 예방에 최선을 다하겠다고 했다. 정부가 “쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 고객 정보가 유출됐다”고 확인한 만큼 실질적인 피해 보상과 재발 방지 대책이 뒤따라야 한다.

정부 역시 이번 사태를 엄중하게 받아들여야 한다. 쿠팡은 국가가 인증한 ‘정보보호 및 개인정보보호 관리체계 인증’(ISMS-P)을 취득하고도 대규모 유출 사고를 냈다. 정부와 기업 모두 보안 의식을 획기적으로 개선하지 않는다면 유사 사고는 언제든 되풀이될 수밖에 없다.