역대 최악의 고객 정보 유출 사고가 발생했습니다. 쿠팡은 최근 공지를 통해 "고객 계정 약 3,370만 개가 무단으로 노출된 것으로 확인됐다"고 밝혔습니다. 유출된 정보에는 고객 이름과 이메일, 전화번호, 주소는 물론 일부 주문 정보까지 포함된 것으로 드러났습니다.

더욱 충격적인 것은 해킹 시점입니다. 조사 결과, 이번 공격은 이미 5개월 전인 지난 6월 24일부터 시작된 것으로 추정됩니다. 해외 서버를 통해 반년 가까이 우리 개인정보가 무방비로 열람되고 있었던 셈입니다. 이번 사태가 왜 단순한 사고가 아닌지 짚어봤습니다.

활성 고객보다 많은 3,370만 건... SKT 사태 뛰어넘은 '역대 최악' 규모

가장 큰 문제는 상상을 초월하는 유출 규모입니다. 쿠팡이 지난 3분기 실적 발표 당시 언급한 '프로덕트 커머스 활성 고객(구매 이력이 있는 고객)'은 2,470만 명입니다. 그런데 이번에 유출된 계정 수는 이보다 훨씬 많은 3,370만 개에 달합니다.

전문가들은 "활성 고객 수보다 유출된 계정이 더 많다는 것은, 사실상 탈퇴한 회원을 포함해 쿠팡을 한 번이라도 이용했던 거의 모든 국민의 정보가 털린 것으로 보인다"고 분석했습니다.

이는 역대급 개인정보 유출 사고로 기록된 SK텔레콤 사태를 뛰어넘는 규모입니다. 당시 SK텔레콤은 약 2,324만 명의 정보가 유출돼 개인정보보호위원회로부터 역대 최대 과징금인 1,348억 원 처분을 받았습니다. 이번 쿠팡 사태는 그 기록을 가볍게 경신할 만큼 파괴력이 큽니다.

단순히 숫자만 많은 것이 아닙니다. 통신사 유출이 전화번호부 수준이었다면, 쿠팡은 우리 삶의 패턴을 쥐고 있습니다. 집 주소, 공동현관 비밀번호, 배송 내역 등 '생활 밀착형' 정보가 3천만 건 넘게 쏟아져 나온 것입니다.

"4,500명이라더니 하루 만에 3,300만 명?"... 신뢰 잃은 쿠팡의 고무줄 해명

쿠팡의 무능하고 안일한 대처도 도마 위에 올랐습니다. 쿠팡은 지난 20일 최초 발표 당시 정보 유출 피해 고객 계정이 '4,500여 개'라고 발표했습니다. 그러나 바로 다음 날, 그 수치를 '3,370만 개'로 정정했습니다.

하루 만에 피해 규모가 7,500배 가까이 늘어난 것입니다. 이는 쿠팡이 내부 보안 현황조차 제대로 파악하지 못하고 있었거나, 사태를 고의로 축소하려 했다는 의혹을 피하기 어려운 대목입니다.

쿠팡 이용자들은 "5개월 동안이나 내 정보가 털리고 있었는데 기업은 몰랐고, 뒤늦게 터진 사고조차 처음에는 축소 발표했다"며 "이런 기업을 어떻게 믿고 내 집 현관 비밀번호를 맡길 수 있겠느냐"고 분통을 터뜨렸습니다.

시민단체들 역시 쿠팡의 오락가락 해명이 불안감을 키우고 있다고 지적합니다. 쿠팡 측이 "해킹이 아닌 크리덴셜 스터핑 공격"이라며 기술적 항변을 하기 전에, 5개월간 깜깜이로 방치된 보안 관제 시스템의 허점부터 인정했어야 한다는 비판입니다.

피해는 오롯이 고객 몫, 보상은 '0원'

마지막으로 가장 분통 터지는 점은 바로 '책임 없는 태도'입니다. 내 정보가 털려 스미싱 문자에 시달리고 보이스피싱 위협에 떨어도 쿠팡이 해주는 것은 없습니다. 고작 홈페이지에 사과문 한 장 띄운 것이 전부입니다.

일각에서는 "현행법상 실제 금전적 피해가 입증되지 않으면 위자료를 받기 어렵다는 점을 기업들이 악용하고 있다"면서 "쿠팡 역시 '죄송하다'는 말뿐, 실질적인 피해 구제책은 내놓지 않고 있다"고 꼬집었습니다.

개인정보 유출로 인한 정신적 피해, 번호를 바꾸거나 비밀번호를 변경해야 하는 유무형의 비용은 고스란히 고객이 떠안아야 합니다. 쿠팡은 유료 멤버십 가격을 기습 인상하며 수익성 개선에는 열을 올리면서도, 정작 고객의 정보를 지키지 못한 책임에 대해서는 지갑을 닫았습니다.

쿠팡은 이제 단순한 쇼핑몰이 아닙니다. 우리 생활 깊숙이 들어와 있는 인프라 기업입니다. 3,370만 명이라는 숫자는 단순한 데이터가 아니라 대한민국 국민 그 자체입니다. 정부의 강력한 제재와 함께, 징벌적 손해배상제 도입 등 실질적인 법적 장치 마련이 시급해 보입니다.