국내 최대 규모의 개인정보 유출 사태가 발생했음에도 쿠팡이 5개월간 이를 인지하지 못한 것으로 드러나 비판이 제기된다. 표는 쿠팡의 개인정보 유출 일지. /그래픽=황정원 기자


국내 최대 이커머스 기업 쿠팡에서 발생한 개인정보 유출 규모가 3370만명에 달하는 것으로 확인된 가운데 쿠팡 측이 5개월 동안이나 유출 사실을 인지하지 못한 것에 대해 질타를 받고 있다.


30일 쿠팡에 따르면 이번 개인정보 유출 사고의 시발점은 지난 6월24일로 거슬러 올라간다. 해커 등으로 추정되는 세력은 이때부터 해외 우회 서버 등을 통해 쿠팡 고객 데이터베이스(DB)에 대한 비인가 접근을 시작했다.

문제는 쿠팡의 대응이다. 공격자들은 6월부터 10월까지 약 5개월간 보안 감시망을 피해 3370만명의 데이터를 지속적으로 탈취했으나, 쿠팡 보안팀은 지난 11월18일 트래픽 이상 징후를 발견하기 전까지 반년 가까이 이 사실을 파악하지 못했다.


이번 유출 규모는 쿠팡의 실제 이용자 수를 훌쩍 뛰어넘는 수치여서 충격을 더한다. 3370만명은 쿠팡이 지난 3분기 실적 발표 당시 공개한 활성 고객수 2470만명의 1.4배에 달하는 규모다. 사실상 탈퇴한 회원이거나 휴면 계정의 정보까지 몽땅 털린 것 아니냐는 우려가 나온다.

늑장 대응뿐만 아니라 '축소 발표' 논란도 거세다.


쿠팡은 이상 징후 발견 이틀 뒤인 지난 20일 1차 발표를 통해 "약 4500명의 배송지 정보가 비인가 접근으로 노출됐다"고 밝혔다. 당시 쿠팡은 외부 해킹 흔적은 없다고 강조했다.

그러면서 지난 25일 유출 혐의자로 '신원불상자'(내부 직원 추정)를 경찰에 고소했다. 외부 해킹보다는 내부 소행이나 단순 사고로 판단했던 셈이다.


정밀 조사 결과 사태의 실상은 쿠팡의 추정과 다르게 나타났다. 쿠팡은 29일 오후 6시경 공식 입장문을 내고 "정밀 재조사 결과 4500명이 아닌 3370만명의 개인정보 유출을 확인했다"고 말을 바꿨다. 당초 발표보다 피해 규모가 약 7500배 늘어난 수치로 사실상 모든 회원의 정보가 털린 셈이다.

사태가 커지자 정부도 즉각 나섰다. 과학기술정보통신부와 방송통신위원회, 한국인터넷진흥원(KISA), 개인정보보호위원회 등은 '민관합동조사단'을 구성하고 현장 조사에 착수했다.

조사단은 쿠팡이 5개월간 해킹을 탐지하지 못한 기술적 결함 원인과 함께, 1차 발표 당시 고의로 사태를 축소·은폐하려 했는지 여부를 집중적으로 들여다볼 방침이다. 경찰 또한 수사 인력을 대거 투입해 본격적인 범인 추적에 나섰다.