“혹시 내 정보도?” 3,370만 건 쿠팡 개인정보 유출 사태의 전말
최근 대한민국을 떠들썩하게 만든 충격적인 소식이 있었죠. 바로 국내 최대 이커머스 플랫폼 쿠팡에서 무려 3,370만 건의 개인정보가 유출되었다는 사실입니다. 이는 우리나라 성인 4명 중 3명의 정보가 새어 나간 셈이며, 사실상 쿠팡 전체 이용자의 정보와 맞먹는 엄청난 규모입니다. 더욱 놀라운 것은 이 유출이 지난 6월부터 다섯 달 동안이나 지속되었다는 점입니다. 사태의 심각성에 대통령까지 나서 대책 마련을 지시할 정도로, 이번 쿠팡 개인정보 유출 사태는 우리 모두에게 큰 경각심을 안겨주고 있습니다.
해킹이 아니었다? 범인은 바로 ‘내부자’
많은 분들이 ‘또 해킹당했나?’라고 생각하셨을 겁니다. 하지만 이번 사태는 기존의 해킹 사건과는 성격이 다릅니다. SKT나 KT의 사례처럼 외부의 공격으로 정보가 뚫린 것이 아니라, 바로 ‘내부자’에 의해 정보가 유출된 것입니다. 쿠팡에 따르면, 유력한 용의자는 중국 국적의 전 직원으로 밝혀졌습니다. 그는 재직 당시 다른 사용자에게 접근 권한을 부여하는 인증 업무를 담당했으며, 퇴사 후에도 폐기되지 않은 ‘서명키(Signing Key)’를 이용해 내부 시스템에 접근하여 고객 정보를 빼돌린 것으로 추정됩니다. 원칙대로라면 퇴사자의 접근 권한은 즉시 파기되어야 하지만, 쿠팡의 허술한 내부 보안 시스템이 이와 같은 대규모 유출 사태를 초래한 것입니다.
골든타임을 놓친 쿠팡의 ‘늑장 대응’
사태를 더욱 악화시킨 것은 쿠팡의 미흡하고 더딘 대응이었습니다. 한 고객이 개인정보를 빼돌린 전 직원에게 협박 메일을 받았다며 쿠팡에 제보한 것은 지난달 16일. 하지만 쿠팡은 이틀이 지난 18일에야 사태를 인지했고, 당국에 신고한 것은 제보 나흘 뒤인 20일이었습니다. 심지어 경찰 신고는 일주일이나 지난 25일에야 이루어졌습니다. 더 큰 문제는 고객에게 사안의 심각성을 제대로 알리지 않고 “추가로 조치할 사항이 없다”고 답변하는 등 사태를 축소하려는 듯한 태도를 보였다는 점입니다. 이러한 늑장 대응은 고객들의 불안감을 키우고, 피해를 확산시키는 결과를 낳았습니다.
솜방망이 처벌과 남겨진 과제들
현재 개인정보 유출과 관련된 과징금은 기업의 매출액 대비 턱없이 낮은 수준이라 ‘솜방망이 처벌’이라는 비판이 끊이지 않습니다. 이 때문에 징벌적 손해배상 제도를 현실화하는 등 관련 법을 강화해야 한다는 목소리가 높아지고 있습니다. 현재 수십만 명의 피해자들이 쿠팡을 상대로 집단 소송을 준비하고 있지만, 기업의 과실을 명확히 입증하고 개인의 피해 규모를 산정하는 것이 어려워 승소를 장담하기는 어려운 상황입니다. 잊을 만하면 터지는 개인정보 유출 사고, 이제는 기업의 철저한 보안 의식과 더불어 실효성 있는 법적, 제도적 장치 마련이 시급해 보입니다.
