국내 최대 이커머스 업체 쿠팡에서 경제활동인구 2969만 명을 넘어서는 역대 최대 규모인 3370만 개의 고객 계정 정보 유출 사고가 발생했다. 이번 유출에는 이름·전화번호·배송지 등 기본적인 신상정보가 포함된 것으로 알려져 소비자들 사이에서 2차 피해 우려도 확산하고 있다. 사진은 1일 서울 송파구에 위치한 쿠팡 본사 모습./뉴스1

쿠팡은 지난해 4월 와우 멤버십 월 이용료를 4990원에서 7890원으로 58% 인상한다고 발표하면서 "와우 멤버십이 지구상 최고의 서비스가 될 수 있도록 고객들이 놀랄 만한 혜택을 지속적으로 선보이겠다"고 밝혔다.

이후 1년 6개월여가 지난 가운데 쿠팡은 전국민을 깜짝 놀래킨 악몽을 선사했다. 우리 국민 3370만 명의 개인정보가 유출되는 사고가 발생하면서다. 이번 사태는 국내 이커머스 1등인 쿠팡의 무사안일이 피해 규모를 키웠다는 지적이 나온다.

1일 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡에서 제출받은 자료에 따르면 정보 유출자로 추정되는 전 중국인 직원은 인증관련 업무 담당자였던 것으로 전해졌다.

내부에서 대규모 개인정보 유출이 가능했던 것은 쿠팡의 보안 시스템 부재에서 비롯됐다는 지적이 나온다. 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 직원 퇴사 이후에도 폐기되거나 갱신되지 않았다. 이 때문에 중국인 직원 퇴사 후에도 쿠팡이 내부에서 발급한 '서명된 액세스 토큰'이 유효한 상태로 유지되면서 자유롭게 침투가 가능했다는 것이다.

수 개월간 유출 사실조차 파악 못한 쿠팡의 사후 대응도 미온적이란 지적이 끊이지 않는다. 쿠팡은 "어떠한 결제 정보, 신용카드 번호, 로그인 정보는 유출되지 않고 안전하게 보호되고 있다"고 밝혔지만 3000만명이 넘는 쿠팡회원들은 불안을 감추지 않고 있다. 일부 회원들은 등록 결제 정보를 삭제하는 등 자구안을 마련하고 있다.

한편에서는 집단 소송 움직임도 나온다. 네이버 카페에는 '쿠팡 집단 소송'으로 수천개의 키워드가 검색되고 있다. 쿠팡 케이스와 같이 기업의 정보보호 인식 부재로 발생한 소비자 피해 사건에 대해서는 징벌철 손해 배상을 도입해야 한다는 주장도 나온다. 미국 통신사 AT&T는 지난 2024년 두 차례 대형 데이터 유출 사고가 있었고 집단소송 합의금으로 약 2600억원(1억7700만달러)을 마련했다. 보상액 규모도 1인당 최대 1100만원(7500달러)에 달하는 것으로 전해진다.

업계 일각에서는 쿠팡을 실질적으로 이끄는 김범석 의장이 직접 메시지를 내야 한다는 지적이 나온다. 회사의 명운이 걸린 상황에서 대국민 사과를 하고, 국회 청문회 등에 출석해 보상계획, 사고 재발 방지 대책 등을 주도적으로 이끌 필요가 있다는 것이다. 그간 김범석 의장은 해외 거주 중이고, 쿠팡이 미국 기업이라는 이유로 국정감사 출석 요구 등을 번번히 외면해 왔다.

한편, 김범석 의장은 자산 총액 5조원 이상인 대기업 동일인(총수) 지정에서 매번 제외되면서 매년 논란이 되고 있다.