쿠팡 데이터 유출 3천 건? 실제론 3360만 건이었다

쿠팡이 초기 발표한 3천 건 데이터 유출이 실제로는 3360만 건으로 밝혀져 충격. 정부 합동조사 결과와 기업의 투명성 문제를 분석한다.

3천 건이라고 했는데 실제로는 3360만 건이었다. 한국 최대 이커머스 플랫폼 쿠팡의 데이터 유출 사건이 당초 발표보다 1만 배 이상 큰 규모로 드러나면서, 기업의 투명성과 정부의 감시 체계에 대한 의문이 커지고 있다.

숨겨진 진실의 무게

과학기술정보통신부는 10일 브리핑을 통해 지난해 11월 발생한 쿠팡 데이터 유출 사건의 합동조사 결과를 발표했다. 25.6테라바이트의 웹 접속 로그를 분석한 결과, 3367만 명의 이용자 정보가 노출된 것으로 확인됐다.

문제는 쿠팡의 초기 대응이었다. 회사는 사건 발생 직후 "약 3천 건의 계정 정보만 유출됐다"고 발표했지만, 실제 피해 규모는 상상을 초월했다. 이는 한국 전체 인구의 3분의 2에 해당하는 수준이다.

더욱 심각한 것은 쿠팡이 법정 신고 의무를 위반했다는 점이다. 회사는 11월 17일 오후 4시에 사건을 인지했지만, 당국에 신고한 것은 이틀 뒤인 19일 밤 9시 35분이었다. 24시간 내 신고 의무를 48시간 넘게 어긴 것이다.

정부 조사단에 따르면 이번 사건은 "정교한 공격"이 아니라 "관리상의 문제"였다. 해커들은 쿠팡의 인증 시스템 취약점을 악용해 가짜 디지털 패스를 생성, 정상적인 인증 절차를 우회했다.

최우혁 과기정통부 사이버보안국장은 "이는 명백히 관리의 문제"라며 "쿠팡은 비정상적인 접근에 대한 모니터링을 강화하고, 로그 보존 정책을 수립해야 한다"고 지적했다.

특히 우려스러운 것은 공동현관 비밀번호까지 노출됐다는 사실이다. 쿠팡 이용자들이 가족이나 지인 앞으로 배송을 요청할 때 입력하는 개인정보까지 해커들이 1억 4800만 번 열람한 것으로 드러났다.

쿠팡은 여전히 "2차 피해는 확인되지 않았다"며 "해커가 단순히 웹사이트를 열람한 것일 뿐 실제 데이터를 빼갔다는 증거는 없다"고 주장하고 있다. 하지만 정부는 회사가 핵심 증거를 보존하지 않았다며 별도 수사를 예고했다.

이번 사건은 한국의 디지털 생태계가 얼마나 취약한지를 보여준다. 쿠팡은 코로나19 이후 급성장하며 한국인의 일상에 깊숙이 파고든 플랫폼이다. 새벽 배송의 편리함 뒤에 숨겨진 개인정보 보안의 허점이 드러난 것이다.

정부는 쿠팡에 최대 3000만원의 과태료를 부과하고, 재발 방지 대책 제출을 요구할 예정이다. 하지만 연매출 24조원을 기록하는 거대 기업에게 3000만원의 벌금이 얼마나 실효성이 있을지는 의문이다.