쿠팡이 보유한 3370만명 고객 계정 정보유출 사태와 관련해 실제로 유출된 정보 규모가 쿠팡의 설명보다 훨씬 크고 민감한 금융정보 내용도 포함될 가능성이 제기됐다.
이정헌 더불어민주당 의원은 2일 국회에서 진행한 쿠팡 현안 질의에서 "(유출 혐의자가)지난해 12월 퇴직한 것으로 알고 있는데, (쿠팡이 이번 사건을 인지한) 시점이 6월 24일라면, 퇴직한 이후에도 6월 이전에도 얼마든지 더 많은 개인정보가 빠져나갈 가능성도 있지 않냐"며 "아직 발견은 못 했지만 (가능성이) 있을 수 있는 것 아닌가"라고 말했다.
이 의원이 이와 관련해 추가 정보유출 가능성을 묻자, 이 자리에 배석한 김승주 고려대 정보보호대학원 교수는 "저는 일단 그럴 가능성이 있다고 본다"고 답했다. 김 교수는 이 의원이 유출 혐의자가 재직 중에도 개인정보를 침탈해 갔을 가능성에 대해서도 "그럴 수 있다"라고 답했다.
쿠팡은 지난 11월 29일 발표한 공식 사과문에서 "고객 이름, 이메일 주소, 배송지 주소록, 전화번호, 주문정보 등만 유출됐다"며 "고객의 카드 정보 등 결제정보 및 패스워드 등 로그인 관련 정보는 노출이 없었음을 확인했고, 안전하게 보호되고 있다"고 밝힌 바 있다. 그러면서 이를 근거로 "고객이 추가적인 보안 관리 조치를 할 필요가 없다"고 안내했다.
이 의원은 "아직까지 (금융정보 유출 등) 흔적이 발견되지 않았을 뿐 충분히 그럴 수 있다"며 "그렇다면 직원이나 퇴직자의 접근 권한과 관련된 관리를 잘했어야 하는데 그렇게 하지 못했다"고 질타했다.
이어 "쿠팡은 전화번호, 배송지, 주문 정보뿐 아니라 결제정보, 신용카드 정보까지 해킹되고 남았을 거라고 판단한다"며 "대규모 트래픽 비정상 계정 조회 대량 데이터 유출 등을 탐지하는 기본적인 보안 시스템을 마련해야 한다"고 촉구했다.
이와 관련 박대준 쿠팡 대표는 "취약점을 파악하고 개선되도록 하겠다"고 답했다.