쿠팡은 지난달 29일 오후 “약 3370만 고객 계정이 외부에 무단 노출된 것으로 확인됐다”고 공식 발표했다. 회사 측은 “조사 결과, 해외 서버를 통해 지난 6월 24일부터 비정상적인 개인정보 접근이 있었던 것으로 추정된다”고 밝혔다.
쿠팡은 결제 정보·신용카드 번호·로그인 정보는 유출되지 않았다고 선을 그었지만, 정부는 정확한 사실 관계를 확인하기 위해 추가 조사에 나섰다. 서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 고소장을 접수하고 수사에 착수했다.
이번 사태는 퇴직한 중국 국적 직원의 소행일 가능성이 유력하게 거론된다. 경찰과 쿠팡에 따르면 해당 직원은 퇴사 후 해외로 이동한 뒤 “회원 개인정보를 보유하고 있다”며 “보안을 강화하지 않으면 이를 언론에 유출하겠다”는 취지의 이메일을 회사에 보냈다. 금전 요구는 없었던 것으로 알려졌다. 경찰은 이 인물이 빼돌린 정보를 이미 제3자에게 전달하거나 판매했을 가능성도 배제하지 않고, 디지털 포렌식 등 정밀 수사를 이어가고 있다.
정부는 쿠팡 서버의 인증 절차, 즉 로그인 체계 자체의 취약성이 근본적 원인으로 보고 있다. 쿠팡이 제출한 최초 신고서에는 “유효한 인증 없이 접근한 기록이 있으며, 서명된 액세스 토큰이 악용된 것으로 보인다”는 내용이 담겼다. 액세스 토큰은 특정 정보에 접근할 수 있도록 부여되는 권한을 의미한다.
배경훈 부총리 겸 과학기술정보통신부 장관은 지난 30일 정부서울청사에서 열린 긴급회의에서 “정부는 사고 경위를 면밀히 조사하고 피해 확산을 차단하기 위해 민관 합동 조사단을 즉시 가동했다”며 “쿠팡이 개인정보 보호에 관한 안전조치 의무를 위반했는지도 조사 중”이라고 말했다. 이어 “이번 사고를 악용한 피싱·스미싱 등 2차 피해를 막기 위해 대국민 보안 공지를 시행했고, 앞으로 3개월간 ‘인터넷상 개인정보 노출 및 불법유통 모니터링 강화 기간’을 운영할 것”이라고 덧붙였다.
한편, 쿠팡은 지난달 30일 박대준 대표 명의로 사과문을 발표하고 “국민 여러분께 심려와 걱정을 끼쳐 진심으로 사과드린다”고 밝혔다. 쿠팡 측은 “고객 정보 보호는 회사의 최우선 과제”라며 “민관합동조사단과 긴밀히 협력해 추가 피해를 막고, 기존 보안 장치와 시스템을 어떻게 개선할지 전면 검토하겠다”고 했다.
조유현 더나은미래 기자
