외부 침입 흔적 없이 내부 접근 정황 확인
집단 소송 움직임…위자료 수만원대 전망
[소셜밸류=한시은 기자] 국내 최대 이커머스 플랫폼 쿠팡에서 수천만 건에 달하는 고객 개인정보가 장기간 무단 유출된 사실이 드러났다. 유출 규모는 당초 발표보다 수천 배 늘어난 것으로 확인되면서 쿠팡의 보안 관리 허점 논란은 더욱 거세지고 있다.
이와 맞물려 일부 피해 고객 사이에서는 회원 탈퇴에 이어, 쿠팡을 상대로 한 집단 손해배상 소송 준비 목소리도 높아지는 중이다. 최근 GS리테일, 머스트잇 등에서 고객 정보 유출 사고가 잇따랐던 만큼, 이번 사건은 유통 기업 신뢰도에 대한 시험대가 될 것으로 보인다.
 |
| ▲ 박대준 쿠팡 대표이사가 지난 10월14일 국회 과학기술정보방송통신위원회에서 열린 2025년도 국정감사에 출석했다./사진=한시은 기자 |
1일 업계에 따르면, 쿠팡은 전날 박대준 대표 명의의 사과문을 통해 “지난 6월 24일부터 발생한 개인정보 무단 접근 사고로 국민께 큰 불편과 걱정을 끼쳐 죄송하다”라며 고개를 숙였다.
이어 “고객 정보를 보호하는 일은 쿠팡의 최우선 과제”라며 “기존 데이터 보안 체계와 시스템 전반에 대한 점검을 바탕으로 추가 피해 예방에 총력을 다하겠다”고 밝혔다.
쿠팡은 지난달 19일 개인정보 침해 가능성을 처음 포착해 당국에 신고했고, 이후 20일 공식적으로 유출 신고가 정부에 접수되면서 현장 조사에 착수했다. 당시 쿠팡은 피해 계정 규모를 약 4500개로 파악했다고 공지했다.
그러나 열흘도 지나지 않아 상황은 뒤집혔다. 쿠팡은 29일 재공지를 통해 고객 계정 3370만개가 비정상적으로 열람된 사실을 확인했다고 발표했다. 초기 발표 대비 약 7000배 넘게 확대된 규모다.
이는 쿠팡이 지난 3분기 실적에서 공개한 활성 고객 수(약 2470만명)를 크게 웃도는 수준이다. 특히 개인정보보호위원회로부터 역대 최대 과징금(1348억원)을 부과받았던 SK텔레콤 개인정보 유출 사고(약 2300만명)를 넘어서는 규모다.
개인정보보호법에 따르면 기업이 개인정보를 유출한 경우 전체 매출액의 최대 3%까지 과징금을 부과할 수 있다. 쿠팡의 지난해 연결 기준 매출액은 38조2988억원으로, 법 위반이 확정될 경우 이론상 수천억원대 과징금이 부과될 가능성도 제기된다.
◆ 쿠팡 정보 유출 공포…인증 절차 취약
정부 조사 결과, 공격자는 쿠팡 서버의 인증 절차 취약점을 파고들어 별도의 로그인 없이 내부 시스템에 접근한 것으로 확인됐다. 이 과정에서 고객명·이메일·전화번호·배송지 주소 등 3000만 건이 넘는 개인정보가 외부로 유출됐다. 다만 금융 정보 등 결제 관련 데이터는 제외된 것으로 알려졌다.
사고 배경에 대해서는 내부자 개입 의혹이 유력하게 제기된다. 경찰은 쿠팡이 제출한 고소장을 토대로 수사에 착수한 상황이다. 고소장에는 피고소인이 특정되지 않고 ‘성명 불상자’로만 기재됐다.
외부 해킹 흔적이 없다는 쿠팡 측 설명에 따라 사고가 내부에서 발생했을 가능성에도 무게가 실리고 있다. 지난달 퇴사한 중국 국적 직원이 해외에서 고객 데이터에 접근했을 가능성이 있는 것으로 보고 있다.
보안 관리 체계에 대한 비판도 커지고 있다. 쿠팡은 과학기술정보통신부와 개인정보위원회의 ‘정보보호 관리체계(ISMS-P)’ 인증을 받았음에도 최근 잇따른 개인정보 유출 사고를 겪었다. 2021년 쿠팡이츠에서 배달원 약 13만5000명의 정보가, 2023년 판매자 시스템에서는 약 2만2000명의 주문자·수취인 정보가 노출된 바 있다.
현재 쿠팡은 과학기술정보통신부·개인정보보호위원회·한국인터넷진흥원·경찰청 등 민관합동조사단과 협력해 사고 원인 규명과 추가 피해 방지에 주력하고 있다. 정부 또한 전날 배경훈 부총리 겸 과학기술정보통신부 장관 주재로 관계 부처 긴급 대책회의를 열고 사고 조사에 나섰다.
◆ 소비자 불신 확산…집단소송 현실화 조짐
이용자들 사이에서는 집단 손해배상 소송을 준비하려는 움직임도 나타나고 있다. 실제 소송으로 이어질 경우 쿠팡이 개인정보보호법상 안전조치 의무를 제대로 이행했는지가 핵심 쟁점이 될 전망이다.
이와 관련해 참여연대는 논평을 내고 “기업들의 허술한 개인정보 관리와 반복되는 대규모 유출 사태에 대해 강력히 규탄한다”라며 “쿠팡은 피해를 본 국민들에게 충분한 정보를 제공하고 이해할 만한 보상 대책을 내놔야 한다”라고 밝혔다.
법조계에서는 쿠팡의 책임이 인정된다면 피해자 1인당 수만원대 위자료가 산정될 가능성이 있다고 보고 있다. 유사 판례도 소송전에서 중요한 참고 근거로 거론된다.
대법원은 2018년 KB국민카드 고객 정보 유출 사건에서 피해자 1인당 10만원씩 위자료를 지급하라고 판결한 바 있다. 당시 사건은 외주업체 직원이 카드 회원 약 5378만명의 고객 정보를 이동식저장장치에 복사해 대출중개업자에게 넘긴 사안이다.
이 판례는 기업의 개인정보 보호 의무와 내부·위탁 인력 관리 의무 위반 시 고객에 대한 손해배상 책임이 발생한다는 점을 명확히 했다는 점에서 이번 쿠팡 사태에도 유사하게 적용될 수 있다는 분석이 나온다.
[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]
