▲ 경기 부천시의 한 택배 물류센터에 쿠팡 배송 차량이 보이고 있다./사진=뉴스1

[프레스뉴스] 류현주 기자= 국내 이커머스(전자상거래) 1위 업체인 쿠팡에서 3000만명이 넘는 고객의 정보가 유출됐다. 인증 담당자에게 발급되는 서명키를 갱신하지 않아 직원이 퇴사 후 고객 정보를 유출한 사건이다. 

1일 유통업계에 따르면 쿠팡은 지난달 29일 고객 계정 약 3370만 개가 무단으로 노출된 것으로 확인됐다고 공지했다. 노출된 정보는 이름, 이메일 주소, 배송지 주소록, 일부 주문정보 등이다. 쿠팡 측은 "결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다"고 밝혔다.

쿠팡의 전체 회원수는 지난 3분기 기준 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)은 2470만명이다. 사실상 쿠팡의 전 회원 계정이 뚫린 셈이다.

앞서 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 최초 인지했다. 이후 20일 개인정보보호위원회, 한국인터넷진흥원 등 관련 기관에 신고했으며 지난 25일 서울경찰청 사이버수사대에 고소장을 제출했다.

현재까지 조사에 따르면 해외 서버를 통해 지난 6월24일부터 무단으로 개인정보에 접근한 것으로 추정된다. 고객 정보 탈취 시도가 이미 5개월 전 시작됐음에도 쿠팡은 이를 인지하지 못했던 셈이다.

쿠팡의 해킹 피해는 처음이 아니다. 쿠팡이츠 배달원 13만5000여명의 개인정보와 판매자 시스템에서 2만2000여명의 주문자 및 수취원 개인정보가 유출된 바 있다.

쿠팡은 2019년 11월 쿠팡이츠 배달원의 개인정보 보호를 위해 안심번호만 음식점에 전송하는 것으로 정책을 변경했다. 하지만 실제로2021년 11월까지 배달원의 실명과 휴대전화번호를 그대로 음식점에 전송되고 있었다.

쿠팡의 '개인정보 처리방침'에 따르면 쿠팡은 인터넷을 통해 전달되는 고객 정보의 보안 및 안전한 거래를 위해 SSL(Secure Socket Layer) 암호화 보안시스템을 도입해 개인정보를 관리하고 있다.

SSL은 브라우저와 서버 간 통신에서 정보를 암호화해 해킹으로 정보가 유출되더라도 해당 정보의 내용을 보호할 수 있게 해주는 보안 시스템이다.

쿠팡이 개인정보 보호 관련 약관 변경 및 제도 개선에 나섰으나 대규모 유출 사건이 발생하면서 내부 보안 관리가 도마 위에 오를 전망이다. 뒤늦은 사고 인지와 내부 소행 가능성까지 제기되면서다.

경찰에 따르면 쿠팡이 제출한 고소장에는 피고소인이 특정되지 않아 '성명불상자'로 기재된 가운데 중국 국적의 전 직원 소행일 가능성도 열어두고 수사하고 있다.

쿠팡은 이상 징후 발견 이틀 뒤인 지난 20일 1차 발표에서 "약 4500명의 배송지 정보가 비인가 접근으로 노출됐다"고 밝혔으나 바꿨다. 당초 발표보다 피해 규모가 약 7500배 늘어난 수치다.

쿠팡은 이번 사태와 관련해 무단 접근 경로를 차단했으며 내부 모니터링을 강화했다는 입장이다. 이를 위해 독립적인 리딩 보안기업 전문가들을 영입했다고도 했다.

쿠팡 관계자는 "현재 조사가 진행 중이며 쿠팡은 사법 기관 및 규제 당국과 지속적으로 협조하고 있다"고 말했다.

[저작권자ⓒ 프레스뉴스. 무단전재-재배포 금지]