역대 최대 규모의 개인정보 유출 사고가 발생한 쿠팡이 5개월 전부터 고객 정보 탈취 시도가 시작된 것으로 추정된다고 밝혔다. 관련 당국이 조사에 나선 가운데 쿠팡은 유출이 아닌 노출이라는 표현을 일관되게 사용해 사태의 심각성을 축소하려는 의도 아니냐는 의혹이 제기된다.
30일 쿠팡은 개인정보 유출 피해자들에게 "고객님의 소중한 개인정보가 일부 노출되는 사고가 발생했다"는 문자 메시지를 전송했다.
쿠팡에 따르면 개인정보 유출 피해 계정은 3370만 개, 유출된 정보는 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다. 카드정보 등의 경제정보와 패스워드 등의 로그인 관련 정보는 유출되지 않은 것으로 파악됐다.
사실상 쿠팡 전체 고객의 개인정보가 유출된 셈이다. 쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)은 2470만 명으로, 유출 계정 수가 활성고객 수보다 많다.
국내에서 발생한 고객 정보 유출 사태 중 최대 규모기도 하다. 앞서 SK텔레콤은 약 2324만 명의 개인정보를 유출한 사고로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받았다. 쿠팡의 이번 개인정보 유출 사고 피해 규모는 SK텔레콤에서 발생한 피해 규모를 크게 웃돈다.
쿠팡은 "현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다"고 공지했다. 쿠팡이 지난 18일 이번 사고를 인지하고 20일과 29일 관련 내용을 개인정보보호위원회에 신고한 것을 고려하면, 쿠팡은 고객 정보 탈취가 시도된 이래 5개월 동안 사태를 파악하지 못하고 있었던 셈이 된다.
쿠팡은 공지문과 피해자들에게 보낸 메시지에 '유출'이 아닌 '노출'이란 표현을 일괄적으로 사용하고 있다. 국어사전은 유출을 '귀중한 물품이나 정보 따위가 불법적으로 나라나 조직의 밖으로 나가 버림'으로 설명하고, 노출은 '겉으로 드러나거나 드러냄'이라고 설명한다.
유출이 노출보다 이번 사태를 더 정확히 설명할뿐더러 통신사 등에서 발생하는 개인정보 해킹 사건에서도 유출이라는 표현을 통상적으로 사용한다. 그러나 쿠팡은 노출이라는 표현을 고수해 일각에서는 "사태의 심각성을 축소하려는 시도 아니냐"는 의혹 제기가 나온다.
피해 규모와 유출된 개인정보 범위가 더욱 커질 수 있다는 우려도 나온다.
앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서 "현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다"고 공지했다. 그러나 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출됐다고 밝혔다.
KT의 경우 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기됐다. 경찰은 해당 의혹에 대해 이달 강제수사에 착수했다.
한편, 개인정보보호위는 쿠팡 개인정보 유출 사태와 관련한 조사를 진행하고 있다. 과학기술정보통신부는 민관합동조사단을 꾸려 사고 경위를 분석하고 재발방지 대책을 마련할 예정이다. 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 개인정보 유출 사태에 대한 고소장을 받아 개인 정보 유출 사태에 대한 수사에 착수했다.
참여연대는 이날 성명을 내고 "기업들의 허술한 개인정보 관리와 반복되는 대규모 유출사태에 대해 강력히 규탄한다"며 "미국기업 쿠팡은 미국에서 사업을 했어도 이렇게 허술하게 개인정보를 관리 했겠는가"라고 반문했다.
참여연대는 그러면서 "쿠팡은 피해를 입은 국민들에게 충분한 정보를 제공하고 납득할만한 보상대책을 내놓아야 한다"며 "정부와 국회는 더 이상 생색내기 과징금에 그치지 말고, 조속히 집단소송법과 징벌적손해배상제도, 증거개시제도를 도입하여 기업들의 책임을 강화하고 국민들이 제대로 된 피해구제를 받을 수 있도록 해야한다"고 촉구했다.
전체댓글 0