시사1 장현순 기자 | 쿠팡이 29일 “후속 조사에서 고객 계정 3370만건의 개인정보가 외부에 무단 노출된 사실을 확인했다”고 밝혔다. 이는 지난 18일 최초 인지 당시 4500건으로 파악됐던 규모에서 7000배 이상 확대된 수치다. 단일 전자상거래 플랫폼에서 이 정도 규모의 개인정보 노출이 공식 확인된 사례는 드물어, 업계와 규제 당국 모두 긴장하는 분위기다.

쿠팡에 따르면 이번에 외부 노출된 정보는 고객 이름, 이메일 주소, 배송지 주소록(수령인 이름·전화번호·주소), 일부 주문 내역 등이다.

쿠팡 측은 “결제 정보, 신용카드 번호, 금융정보, 로그인 비밀번호 등 계정 접근에 필요한 핵심 인증 정보는 포함되지 않았다”고 강조했다.

그럼에도 배송지 주소록과 주문 내역 등 ‘생활 패턴을 추적할 수 있는 정보’가 포함되면서 2차 피해 우려가 제기되고 있다.

쿠팡은 이번 사태를 최초 인지한 직후 긴급 조사팀을 꾸렸고, 로그 기록과 접근 이력을 재검증하는 과정에서 대규모 계정 정보 열람 흔적을 추가로 파악한 것으로 알려졌다.

쿠팡 측은 “내부 보안 모니터링 시스템이 비정상적 접근 징후를 포착함에 따라 재점검이 이뤄졌다”며 “관계기관과 조사 범위를 확대하고 있다”고 말했다.

업계에선 당초 4500건 수준이라고 발표된 이후 불과 열흘 만에 3370만건으로 규모가 급격히 증가한 점을 문제 삼는다.

보안업계 전문가들은 “단기간에 유출 규모가 대폭 조정된 것은 초기 분석 체계가 취약했거나 내부 보안 로그 관리가 충분하지 않았음을 의미한다”며 “사실상 플랫폼 전체 고객 정보가 외부에서 조회 가능했을 가능성을 배제할 수 없다”고 입을 모았다.

개인정보보호위원회는 쿠팡으로부터 상세 자료를 요청해 법 위반 여부와 행정처분 필요성을 검토 중이다.

만약 쿠팡이 ▲접근 통제 미비 ▲개인정보 처리 기록 관리 소홀 ▲침해사고 보고 지연 등의 위반 사항이 확인될 경우, 과징금 부과나 시정명령, 재발 방지 조치 의무 등이 내려질 가능성이 있다.

규제 당국 관계자는 “유출 건수가 대규모인 만큼 조사가 불가피하다”며 “사실관계 파악 후 필요한 조치를 검토할 것”이라고 밝혔다