쿠팡 이용자 정보 유출 규모가 초기 파악치보다 크게 확대된 것으로 확인됐다. 지난 18일 최초 인지 당시 약 4500개 계정 정보가 노출된 것으로 알려졌으나 이후 조사 과정에서 유출 계정 수가 이보다 훨씬 많은 수준으로 나타났다. 유출 대상도 와우회원에 한정되지 않고 쿠팡에서 상품을 구매한 일반 회원까지 포함된 것으로 파악돼 소비자들의 불안이 커지고 있다.
30일 쿠팡에 따르면 자사 점검 결과 지난 6월 24일 이후 해외 IP를 통한 장기간의 비정상적 접근이 있었던 것으로 추정하고 있다. 회사는 해당 접근을 차단한 뒤 내부 모니터링을 강화하고 외부 보안 전문업체를 투입해 대응 체계를 보완했다고 설명했다.
서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아 개인 정보 유출 사태에 대한 수사에 착수한 상황이다. 개인정보를 외부에 노출한 직원의 국적은 중국으로 확인됐다. 해당 직원은 쿠팡에 소속되지 않은 상태로 현재 중국에 체류 중인 것으로 알려졌다. 사건의 핵심 관련자가 국외에 있는 만큼 향후 조사와 책임 규명이 쉽지 않을 것이라는 전망도 나온다.
☞관련기사 [단독]쿠팡 3370만개 정보 유출 직원은 '중국인'...이미 퇴사, 한국 떠났다
쿠팡 측은 다만 금융결제 정보 등 주요 민감 정보는 유출되지 않았다는 점을 근거로 이번 사안을 해킹 사고로 단정하기는 어렵다는 입장을 유지하고 있다.
이용자들 사이에서는 실제 노출 정보 범위에 대한 관심이 높아지고 있다. 기본 인적정보뿐 아니라 구매 이력 등 일부 생활 정보도 포함된 것으로 알려지면서, 불필요한 연락 수신이나 피싱 피해 가능성 등을 우려하는 반응이 나타나고 있다. 온라인 커뮤니티에서는 계정 보안 점검 방법과 2차 피해 예방 안내 등이 공유되는 상황이다.
전문가들은 이번 사고가 정보 규모뿐 아니라 비정상적 접근이 장기간 지속되었음에도 조기 탐지가 어려웠던 점을 확인할 필요가 있다고 지적한다. 한 정보보안업계 관계자는 "결제 정보가 유출되지 않았더라도 이용자 데이터 노출은 관리 체계 전반을 재검토해야 할 사안"이라고 말했다.
쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 크게 웃도는 규모다. KT의 경우 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 이달 강제수사에 착수했다.
이에 따라 업계에서는 이번 조사 결과에 따라 플랫폼 기업의 정보 관리 관행이 다시 한번 점검되는 계기가 될 수 있다는 전망도 나온다. 수천만 명의 이용자 데이터를 보유한 대형 플랫폼에서 정보 유출 사고가 반복돼 왔다는 점에서, 데이터 접근 관리와 이상 징후 탐지 시스템 개선 필요성이 제기되고 있다.
한편 정보 유출 규모가 확대되자 정부도 조사에 착수했다. 과학기술정보통신부는 관계 기관과 합동조사단을 구성해 사고 경위와 유출 범위를 점검 중이다. 개인정보보호위원회는 안전조치 의무 위반 여부를 중심으로 법적 검토에 들어갔다. 과거 통신·플랫폼 기업에서 개인정보 유출이 발생했을 때 최고경영진 사과와 이용자 보상안이 제시된 사례가 있어, 이번에도 유사한 요구가 제기될 가능성이 거론된다.