쿠팡이 또 한 번 전 국민의 관심사로 떠올랐다. 다만 이번에는 '부정 이슈'다. 대한민국 국민의 절반이 넘는 3370만개의 개인 정보가 유출됐다. 통신 3사의 연이은 해킹에 뒤이은 초대형 개인정보 유출 사태다. 쿠팡은 사건 발생으로부터 5개월이 지나서야 피해 사실을 인지했다. 평소 '테크 기업'임을 강조해 왔던 쿠팡의 실상이 드러났다는 비판이 나온다.
전재산 다 털려도 "몰랐다"
지난달 18일 쿠팡은 약 4500여 개 계정의 개인 정보가 유출된 사실을 인지했다. 후속 조사 결과, 실제로 유출된 계정은 약 3370만개였다. 쿠팡의 활성 가입자(최근 1개월 내 접속 이력이 있는 가입자) 수가 2470만명이라는 점을 고려하면, 거의 모든 쿠팡 계정이 유출됐다는 의미다.
눈에 띄는 건 피해가 알려진 과정이다. 쿠팡과 업계에 따르면 이번 해킹 피해가 시작된 건 지난 6월 24일이다. 전 쿠팡 직원이 고객 데이터베이스에 접근해 정보를 빼 간 것으로 알려졌다. 쿠팡이 이를 인지한 건 5개월이 지난 11월 18일이다. 그나마도 쿠팡이 알아낸 게 아니라 정보가 유출된 소비자가 협박성 메일을 받은 뒤 쿠팡에 문의를 하며 해킹 사실이 알려졌다. 피해자가 나타날 때까지 쿠팡은 아무것도 몰랐다는 의미다.
유출된 정보는 이름과 이메일, 휴대폰 번호, 주소, 일부 주문 내역 등이다. 이런 주요 정보가 유출됐음에도 쿠팡 측은 "어떠한 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았고 안전하게 보호되고 있다"며 "쿠팡 이용 고객은 계정 관련 조치를 취할 필요가 없다"고 주장했다. 하지만 앞서 해킹 피해도 인지하지 못한 만큼 신뢰하기 어려운 상황이다.
문제는 '주소'와 '주문 내역'이다. 배송이 주 사업인 쿠팡에겐 그 어떤 것보다 중요한 정보이기도 하다. 번호 교체가 가능한 신용카드나 전화번호와 달리 집 주소는 사실상 변경이 불가능한 개인 정보다. 특히 아파트나 빌라 등 공동주택에 거주할 경우 주소나 주문 정보에 공동현관 비밀번호를 기재하는 일도 잦다. 쿠팡의 해킹 사태가 금융범죄에만 머무르지 않을 수 있다는 우려가 나온다.
쿠팡의 개인정보 유출은 이번이 처음이 아니다. 쿠팡은 앞선 2019년 개인정보 보호를 위해 쿠팡이츠 배달원의 개인정보 대신 안심번호만 음식점에 전송하는 것으로 정책을 변경했다고 밝혔지만 2년이 지난 2021년까지 배달원의 이름과 개인 전화번호를 음식점에 노출했다. 이에 따라 쿠팡은 지난해 15억원의 과징금을 부과받았다.
"유통 아닌 테크 기업"이라더니
김범석 쿠팡 이사회 의장은 이커머스 전환 초창기부터 쿠팡이 유통·물류 기업이 아닌 IT 기반의 '테크 기업'임을 강조해 왔다. 쿠팡의 빠른 배송은 '인력'이 아닌 기술을 통한 결실이라는 게 쿠팡의 주장이었다.
여러 단계를 거쳐야 결제가 가능한 다른 이커머스 플랫폼과 달리, 주문하기만 누르면 연동된 결제 방식으로 바로 결제되는 편리함 역시 쿠팡의 기술력에서 기인한다고 외쳤다. 지난해 말 기준 2100개의 기술 특허를 보유했다고 자랑했다. 현 대표인 박대준 대표도 쿠팡의 AI사업을 진두지휘해 온 인물이다.
하지만 이번 사태에서 쿠팡의 대응은 IT·테크기업 답지 않았다. 5개월 넘게 피해 사실을 인지하지 못한 건 물론, 인지 직후에도 4000여 개 계정의 피해만 확인했다. 후속 조사가 2주 가까이 이뤄지고 나서야 실제 피해 규모가 당초 밝힌 4500여 개의 1만배 가까운 3370만개라는 사실이 밝혀졌다. 뒷북만 친 셈이다.
쿠팡의 부실한 대응은 예견된 사태라는 목소리도 나온다. 한국인터넷진흥원 정보보호공시에 따르면 쿠팡은 지난해 정보보호 부문에 660억원을 썼다. 2023년엔 639억원, 2022년엔 535억원이었다. 2년 새 125억원(23%)를 늘렸다. 같은 기간 매출은 26조5917억원에서 41조2901억원으로 14조6984억원(55.3%) 늘었다. 매출은 '로켓 성장'했지만 정보보호에는 그만큼 관심을 기울이지 않았다는 의미다.
이찬진 금융감독원장 역시 이 지점을 지적했다. 이 원장은 이날 서울 여의도 금감원에서 열린 기자간담회에서 "우리나라 금융·IT 기업들의 보안 투자 수준은 다른 나라에 비해 형편없다"며 "보안은 비용이 아니라 회사의 존속·신뢰 문제"라고 날 선 비판을 했다.
사건 발생 후 쿠팡의 애매한 태도도 문제로 지적된다. 쿠팡은 박대준 대표이사 명의의 사과문에서 해킹 사태에 대해 "최근 사고", "무단 접근"이라는 표현을 사용했다. 앞서 배포된 자료에서도 '유출'이 아닌 '노출'이라는 표현을 썼다.
이어 "쿠팡은 향후 이러한 사건으로부터 고객 데이터를 더욱 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다"라는 표현도 눈여겨 볼 만하다. 이번 해킹 사태가 쿠팡의 보안 시스템 문제가 아닐 수 있다는 뉘앙스를 담고 있는 것 아니냐는 지적이다.
업계 관계자는 "소비자 편의와 매출 증대에만 투자를 집중하면 다른 곳에서 구멍이 뚫릴 수밖에 없다"며 "쿠팡뿐만 아니라 다른 이커머스들 역시 보안 시스템을 재점검해야 할 것"이라고 말했다.
