쿠팡에서 16만5000여개 계정의 개인정보가 추가로 유출된 것으로 확인됐다. 정부와 대립각까지 세우며 내놨던 주장이 무색하게 추가 유출이 확인되면서 신빙성에 타격을 입었다. '글로벌 최상위 보안업체 조사'를 내세우며 신뢰성을 강조했던 쿠팡의 자체조사가 빈틈투성이었던 것 아니냐는 비판이 나온다.
추가 유출 확인
개인정보보호위원회에 따르면 쿠팡은 지난 5일 오후 4시경 배송지 목록 확인 과정에서 기존 3370만개 회원계정 외에 16만5455개 회원계정의 추가 유출이 확인됐다고 신고했다. 이번 추가 유출로 총 유출 계정 수는 3370만개에서 3386만5000여개로 늘어났다.
쿠팡은 해당 고객들에게 문자로 "관련 당국의 조사 과정에서 지난해 11월 발생한 것과 동일한 개인정보 유출 사건에서 약 16만5000여건 계정의 추가 유출이 확인됐다"고 통지했다. 개인정보보호법상 개인정보처리자는 유출 사실을 알게 된 경우 지체없이 정보주체에게 통지해야 한다.
유출된 정보는 회원이 입력한 이름, 전화번호, 주소 등 배송지 정보다. 배송지 목록에는 회원 본인뿐 아니라 선물 등을 보내기 위해 입력한 타인의 이름과 전화번호, 주소 등이 포함될 수 있다. 개보위는 지난해 유출사고 발생 직후부터 이런 배송지 목록에 포함된 사람들에 대해서도 유출 통지를 해야 한다고 권고한 바 있다.
쿠팡은 이번에 통지된 유출 건은 새롭게 발생한 건이 아니라 지난해 11월 유출 사건에서 추가로 확인된 사항이라고 밝혔다. 결제 및 로그인 정보를 비롯해 공동현관 비밀번호와 이메일, 주문 목록은 유출되지 않았으며 현재까지 2차 피해 의심사례는 발견되지 않았다는 게 쿠팡의 입장이다. 쿠팡은 이번에 추가 유출이 확인된 고객들에게도 기존과 같이 1인당 5만원 상당의 구매이용권을 지급할 계획이다.
구멍 난 자체조사
이번 추가 유출로 쿠팡은 지난해 12월 자신했던 자체 조사 결과의 신뢰성에 결정적인 타격을 입었다. 쿠팡은 지난해 12월 25일 크리스마스에 "정보 유출자가 고객 계정 3300만개의 기본적인 고객 정보에 접근했으나 이중 약 3000개 계정의 고객 정보만 저장했다"는 내용의 조사 결과를 발표했다.
유출자가 고객 계정 3300만개의 정보를 열람했으나 실제로 외부로 가져간 것은 3000개에 불과하다는 설명이었다. 특히 쿠팡은 "전세계 최상위 3개 글로벌 사이버 보안업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰했다"며 조사 결과의 신뢰성을 강조했다.
이 발표 직후 쿠팡은 거센 비판에 직면했다. 정부 협의 없이 조사 결과를 일방적으로 발표하며 피해 규모를 축소하려 한다는 지적이었다. 정부는 유출자가 계정 정보에 접근한 것 자체를 유출로 봤지만 쿠팡은 외부 디바이스로 저장한 것만 유출로 본 게 문제였다. 쿠팡은 다음날 "자체 조사가 아니라 정부 지시에 따라 진행한 조사"라고 해명했지만 이런 비판은 사그라들지 않았다.
결국 이번에 16만5000여개 계정의 추가 유출이 확인되면서 쿠팡 자체 조사 결과의 신뢰성에 금이 가게 됐다. 글로벌 보안업체 3곳을 동원해 조사했다면서도 16만개가 넘는 유출을 파악하지 못했기 때문이다.
이런 상황에서 쿠팡이 강조해온 '유출자가 외부로 가져간 정보는 3000개에 불과하다'는 주장 역시 정확하지 않을 수 있다는 의견도 나온다. 유출자 진술을 근거로 한 만큼 정부 조사에서 다른 증거가 나오면 이 숫자도 달라질 수 있다는 지적이다.
정부는 어디에
쿠팡의 자체조사 결과가 신뢰를 잃으면서 정부의 공식 조사 결과 발표에 대한 요구도 커지고 있다. 쿠팡 개인정보 유출 사건이 발생한 지 2개월이 훌쩍 지났지만 정부의 공식 조사 결과 발표는 아직 나오지 않고 있다. 지난해 SK텔레콤 개인정보 유출 사건에서 정부는 민관합동조사단을 통해 SK텔레콤의 사고 신고(4월 20일) 9일 후 1차 발표, 20일 후 2차 발표를 하는 등 단계별로 조사 결과를 공개했다. 민관합동조사단의 최종 조사 결과 발표까지는 신고 후 75일이 걸렸다.
하지만 쿠팡 사건은 지난해 11월 18일 개인정보 유출을 관련 기관에 신고한 후 80일이 지났지만 아직도 민관합동조사단의 공식 발표가 이뤄지지 않고 있다. 정부의 공식 발표가 없다보니 쿠팡의 개인정보 유출 규모도 쿠팡의 통지나 신고를 통해서만 알려지고 있다.
쿠팡의 최종 유출 규모 역시 현재 발표된 3386만5000여개에서 변동될 가능성이 있다. 기존 유출 피해 계정 3370만개 중에서는 이름과 전화번호, 주소 같은 개인정보가 아예 없거나 회원 정보를 식별할 수 없는 '무효 계정'이 상당수 포함된 것으로 알려졌다. 합동조사단은 현재 이 무효 계정의 규모를 파악하는 작업을 진행 중이다. 무효 계정 규모에 따라서는 전체 유출 규모가 오히려 줄어들 수도 있다는 시각도 나온다. 반면 정부 조사가 진행되면서 이번처럼 추가 유출이 더 확인될 가능성도 배제할 수 없다.
유통업계 관계자는 "정부가 직접 나서서 조사 경과를 발표해야 하는데 계속 쿠팡을 통해서만 알려지니 또 추가 유출이 나오는 게 아니냐는 우려가 커진다"며 "국민들 입장에서는 도대체 유출 규모가 얼마나 되는지조차 불확실한 상황"이라고 지적했다.
