국내 최대 플랫폼에서 흘러나간 개인정보는 단순한 유출이 아니라 삶의 경계까지 넘어온 침입에 가깝습니다.

사고는 6월에 이미 벌어졌는데, 쿠팡도 정부도 11월 민원이 들어오기 전까지 아무도 눈치채지 못했습니다.

보안 업계에서는 “이 정도면 기업 차원을 넘어선 국가적 리스크”라는 말까지 나오고 있습니다.

■ 주문 내역부터 현관 비밀번호까지… 생활 동선 전체가 노출된 사태

1일 업계 등에 따르면 쿠팡이 파악한 피해 규모는 3,370만 계정으로 나타났습니다.

이름, 휴대전화, 주소 같은 기본 정보는 물론이고 최근 주문 내역, 그리고 많은 이용자들이 편의상 주소 입력란에 적어두는 공동현관 비밀번호까지 유출됐을 가능성이 높다는 분석이 나오고 있습니다.

이미 알려진 SK텔레콤 유출 규모도 넘어섰고, 경제활동인구 수보다 피해자가 많은 유례없는 사고입니다.

주거 침입, 택배 위장 범죄, 보이스피싱으로 이어질 가능성까지 거론되며 이용자 불안은 걷잡을 수 없이 퍼지고 있습니다.

정부 관계자는 “주거 정보가 결합된 유출은 위험도가 비교할 수 없을 만큼 높아진다”고 말했습니다.

■ “외부 해킹 흔적 없다”… 퇴사자, 해외에서 접근한 정황

쿠팡은 사고 직후 “외부 침입은 확인되지 않았다”고 밝혔습니다.

남는 가능성은 결국 내부자로 수사 초기부터 지목된 인물은 퇴사 직후 해외로 출국한 중국 국적의 전 직원입니다.

경찰은 이 인물이 쿠팡 서버 인증 취약점을 파고들어, 정상 로그인 없이 대량 데이터를 내려받은 것으로 보고 있습니다.

여기에 사태를 더 키운 정황도 드러났습니다.

쿠팡이 “회원 개인정보를 갖고 있다. 보안 강화하지 않으면 유출 사실을 언론에 알리겠다”는 취지의 협박 이메일을 받은 것으로 파악됐습니다.

금전 요구는 없었지만, 유출자와 협박 메일 발송자가 동일한 인물인지 여부는 사건의 성격을 가르는 핵심입니다.

경찰은 서버 기록을 바탕으로 동일성을 좁혀가고 있지만, 용의자가 이미 해외로 빠져나간 만큼 수사는 속도전이 될 수밖에 없습니다.

■ 6월 24일 유출… 11월 말까지 몰랐다

이번 사태를 둘러싼 분노의 핵심은 다른 곳에 있습니다.

사고 발생일은 6월 24일로 추정되지만, 쿠팡이 이를 인지한 시점은 11월 말 고객 민원 이후였습니다.
5개월 동안 대규모 정보가 빠져나갔는데도 이를 알아채지 못했다는 사실은 쿠팡의 보안 체계 전체에 의문을 남기고 있습니다.

여기에 초동 대응의 혼란도 비판을 키웠습니다.

쿠팡은 처음엔 “피해 계정 4,500건”이라고 발표했다가, 9일 만에 “3,370만 건”으로 정정했습니다.

정부 관계자는 “기업의 탐지 시스템과 로그 분석 체계가 제대로 작동했는지 조사 중”이라고 밝혔습니다.

■ 스미싱·보이스피싱 급증 우려… “쿠팡 사칭 안내문은 즉시 삭제”

정부는 “쿠팡을 사칭한 문자·전화 피해가 급증할 수 있다”며 각별한 주의를 당부했습니다.

특히 다음 단어가 포함된 메시지는 2차 범죄의 전형적인 패턴입니다.

‘긴급 앱 업데이트’, ‘환불 안내’, ‘피해보상 신청’, ‘계정 잠금 해제’.

쿠팡은 “금융정보는 유출되지 않았다”고 설명했지만, 정부는 “조사 결과가 확정되기 전까지는 성급한 판단을 피해야 한다”고 선을 그었습니다.

■ 하루 늦은 사과, 달라지지 않은 답변... 소비자들은 이미 집단소송 움직임

쿠팡의 대응은 공분을 가라앉히지 못했습니다.

박대준 쿠팡 대표는 “수사가 진행 중인 사안이 많다”며 구체적 설명을 피했습니다.

보상 문제 역시 “재발 대책이 확정되면 합리적 방안을 검토하겠다”는 모호한 답변에 그쳤습니다.

유출된 정보가 대한민국 성인의 대부분이라는 점에서 소비자 단체들은 이미 대규모 집단소송 채비에 들어간 분위기입니다.

■ 정부 조사단 가동… 쟁점은 ‘법 위반 여부’

정부는 민관합동조사단을 꾸려 쿠팡이 개인정보 보호 조치를 제대로 이행했는지 들여다보고 있습니다.
쟁점은 크게 두 가지로, ‘쿠팡이 안전조치 의무를 위반했는지’, ‘사고 인지·공개 과정이 법적 기준을 충족했는지’에 맞춰집니다.

배경훈 과기정통부 장관은 “관련 법령 위반 여부를 조사 중”이라고 밝혔습니다.

■ 플랫폼의 구조적 취약점 드러낸 사건...“데이터를 어떻게 모으는가부터 다시 따져야”

이번 사태는 쿠팡만의 문제가 아니라는 데 무게가 실립니다.

특히 △국적·주거·연령·주문 패턴 등 방대한 정보가 한꺼번에 쌓이는 대형 플랫폼 구조, △특정 인력의 접근권한 관리 문제라는 점, △사고를 탐지 시스템이 아닌 ‘민원 기반’으로 확인하는 관행까지 전방위 점검이 필요하다는 지적이 이어지고 있습니다.

전문가들은 “한국 플랫폼 산업의 취약성이 이번 사건에서 적나라하게 드러났다”며 “데이터를 어떻게 모으고, 어떤 권한 체계로 관리할지 처음부터 다시 설계해야 한다”는 목소리를 내고 있습니다.

정부도 내부자 보안과 로그 분석 체계를 중심으로 전면 점검에 나설 계획입니다