[일요신문] 국내 이커머스 1위 기업인 쿠팡에 역대급 개인정보 유출 사건이 발생한 뒤 여론이 들끓고 있다. 쿠팡의 부실한 관리 체계에 대한 지적은 물론 김범석 쿠팡lnc 이사회 의장 책임론 등이 불거진 상황이다. 소비자 사이에서 탈퇴·불매운동, 집단소송 등 움직임이 포착되고 있다. 정부 역시 철저한 조사를 거쳐 책임을 묻겠다며 벼르고 있다. 사면초가에 몰린 쿠팡의 독주 체제가 흔들릴 수 있다는 분석마저 나온다. 우리나라 성인 4명 중 3명꼴인 3370만 명의 개인정보가 유출되면서 유심 해킹 사고를 겪은 SK텔레콤보다 더 많은 과징금이 쿠팡에 부과될 것이라는 전망도 나온다.
국내 이커머스 1위 기업인 쿠팡에 역대급 개인정보 유출 사건이 발생한 뒤 여론이 들끓고 있다. 서울 송파구 쿠팡 본사. 사진=박정훈 기자#내부자 소행 가능성 무게…내부 통제 부실 지적
쿠팡은 11월 18일 약 4500개 계정의 개인정보가 무단으로 유출된 사실을 인지했다. 이어 11월 29일 후속 조사 결과 고객 계정 약 3370만 개가 무단으로 유출된 것으로 확인했다. 유출된 정보는 △이름 △이메일 주소 △전화번호, 공동현관 비밀번호 등 배송지 주소록 △일부 주문 정보 등이다. 결제 관련 정보는 포함되지 않았다고 쿠팡 측은 밝혔다.
외부 해킹보다는 내부자 소행인 것으로 추정되는 가운데 쿠팡이 내부 보안 통제에 실패한 것 아니냐는 지적이 나온다. 앞서 쿠팡은 11월 20일 “고객 개인정보가 비인가 조회됐으며, 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 밝혔다. 유력 용의자는 중국 국적의 전직 쿠팡 직원으로 알려졌다.
이 직원은 인증 시스템을 개발하던 정규직 직원이며, 2024년 12월 퇴사 후 해외에 체류하고 있는 것으로 확인됐다. 쿠팡 측이 “회원들의 개인정보를 가지고 있다. 해당 계정들에 대한 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 취지의 협박 메일을 받은 것으로 알려진 가운데, 수사당국은 협박 메일을 보낸 인물이 유출 용의자와 동일인일 가능성을 열어두고 수사를 진행하고 있다.
정부도 강경 모드다. 이재명 대통령은 지난 12월 2일 열린 국무회의에서 “사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야겠다”며 “관계부처는 해외 사례 참고해서 과징금을 강화하고, 징벌적 손해배상제도도 현실화하는 등 실질적인, 실효적인 대책에 나서주길 바란다”고 주문했다.
과징금 규모는 역대 최대 과징금을 부여받은 SK텔레콤의 사례를 뛰어넘을 것이라는 관측도 나온다. 지난 4월 약 2700만 명의 유심 정보 유출 사고를 겪은 SK텔레콤은 1347억 9000만 원의 과징금을 부과 받았다. 개인정보보호법에 따르면 개인정보 유출 시 매출액의 3%까지 과징금을 부과할 수 있다. 지난해 쿠팡 연 매출액은 약 41조 원인데, 과징금 최대 비율을 단순 적용 시 1조 2000억 원 수준이다.
개인정보 유출 사태 관련 쿠팡 측의 사과문과 쿠팡 본사 모습. 사진=박정훈 기자#이커머스 업계 ‘조마조마’
쿠팡은 국내 유통업계에서 정보기술과 정보보호에 가장 많은 비용을 투자하는 기업으로 꼽힌다. 한국인터넷진흥원 정보보호 공시에 따르면, 쿠팡은 정보기술에 1조 9171억 원을 투자했으며 이 중 890억 원(4.6%)을 정보보호 부문에 투입했다. 쿠팡의 정보보호 투자 비중은 삼성전자, KT에 이어 국내에서 세 번째다.
이런 쿠팡이 받은 정보보호 국가 인증이 무색해졌다는 평가가 나온다. 업계는 이커머스에 대한 소비자들의 불신이 전반적으로 확산될까 우려하는 분위기다. 이커머스 한 관계자는 “유출된 개인정보를 다른 사이트에서 도용하는 등의 문제가 발생할 수 있기 때문에 이커머스 업계가 전반적으로 보안 점검을 시행하고 있다”며 “반사이익보다는 2차 피해에 대한 부담감이 더 큰 상황”이라고 밝혔다.
이커머스 업체 입장에서도 투자 부담이 커질 것이라는 전망이다. 이커머스 업계 다른 관계자는 “개인정보 유출이나 해킹 사태는 통신, 금융 등 업종을 가리지 않고 일어나고 있는 것은 사실”이라면서도 “이커머스 시장에서는 신뢰도가 중요하기 때문에 정보보호 역량 강화에도 신경 쓸 수밖에 없다”고 말했다.
이종우 아주대학교 경영학과 교수도 “보안 수준을 올리고, 제재를 강화하겠다는 정부의 기조가 나온 상황”이라며 “과거에도 이커머스 업계에 개인정보 유출 사태가 여러 차례 발생했지만 그 당시보다 현재 개인정보 보호에 대한 의식이 높아졌기 때문에 정보보호 투자에 있어 이커머스 업계에 부담이 가중될 것”이라고 말했다.
박대준 쿠팡 대표이사가 12월 2일 쿠팡 침해사고 관련 국회 현안 질의에 출석해 답변하고 있다. 사진=박은숙 기자#‘김범석 의장 책임론’까지 솔솔
쿠팡이 사고 공지와 사과문에서 ‘유출’ 대신 ‘노출’, 혹은 ‘무단 접근’ 등 완곡한 용어를 사용하면서 법적 책임을 회피하려는 것이 아니냐는 지적도 나온다. 국회 정무위원회 소속 신장식 조국혁신당 의원은 지난 12월 3일 국회 정무위원회의 쿠팡 개인정보 유출 관련 긴급 현안질의에서 “고의나 과실의 정도에 따라 유출·노출이 달라진다”며 “사실관계를 축소하고 법적 책임을 모면하고 사회적 비난 가능성을 낮추려는 것 아니냐”고 주장했다.
11월 29일 쿠팡이 발송한 쿠팡 개인정보 노출 통지 안내 메시지. 사진=쿠팡 웹 발신 메시지 캡처개인정보보호위원회는 지난 12월 3일 오전 긴급 전체회의를 개최하고, 쿠팡의 개인정보 유출 사고 고지 관련 시정 조치 요구사항을 의결했다. 쿠팡에 요구한 세 가지 이행 사항은 △유출 수정·보완 재통지 △이용자 대상 피해 최소화 방법 적극 안내 △2차 피해 방지 자체 대응 강화 등이다.
쿠팡 전·현직 임원들이 개인정보 유출 사고가 공식적으로 인지되기 전 수십억 원 규모 주식을 대량 매도했다는 사실이 드러나기도 했다. 이에 대해 쿠팡 관계자는 “개인정보 유출 시점과는 무관하며, 이전부터 계획된 매도”라고 해명했다. 미국 증권거래위원회(SEC)에 따르면 거랍 아난드 쿠팡 최고재무책임자(CFO)의 주식 매도는 지난해 12월 8일 도입된 내부자 거래규칙(Rule 10b5-1)에 따라 확정됐으며 세금 납부 목적으로 기재됐다. 역시 주식을 매도한 프라남 콜라리 전 부사장은 지난 10월 15일부로 퇴사한 상태다.
창업자인 김범석 쿠팡Inc 이사회 의장의 책임론도 불거지면서 직접 사과해야 한다는 목소리도 나온다. 미국법인인 쿠팡Inc는 한국 쿠팡의 지분 100%를 보유하고 있다. 김범석 의장은 쿠팡Inc 의결권의 74.3%를 보유하고 있다. 전체 매출 중 한국 비중이 80%가량에 달한다.
쿠팡 측은 이에 대해 선을 긋고 있다. 박대준 쿠팡 대표이사는 지난 12월 2일 국회 과학기술정보방송통신위원회 현안 질의에서 “이번 사태는 한국 법인에서 벌어진 일로 제 책임 하에 있다”며 “개인적으로 (김 의장의) 귀국 여부는 모르겠다”고 답했다.
#쿠팡 독주체제의 균열 신호탄인가
이번 개인정보 유출 사태 여파로 쿠팡은 신뢰에 큰 타격을 입었다. 이를 독주 체제에 균열이 될 수 있다는 분석도 나온다 소비자들 사이에서 ‘탈팡(쿠팡 탈퇴)’, 불매 운동, 집단소송 등이 진행되고 있다. 지난 12월 1일 쿠팡 이용자 14명은 쿠팡을 상대로 1인당 20만 원을 지급하라는 손해배상 청구 소송을 서울중앙지방법원에 제기했다. 12월 3일 오전 기준 쿠팡 집단소송 카페는 30여 개이며, 회원 수는 50만 명을 넘은 상태다.
추격자인 네이버에게는 기회가 될 수 있다. 통계청에 따르면 2024년 온라인 쇼핑몰 거래액 기준 시장점유율은 쿠팡 22.7%, 네이버 20.7%다. 와이즈앱·리테일이 추산한 총거래액(GMV) 기준으로는 쿠팡 55조 861억 원, 네이버 50조 3000억 원으로 약 5조 원 차이다.
배송, 배달, OTT(온라인 동영상 서비스) 등 통합 서비스로 강력한 록인 효과(Lock-in, 특정 브랜드나 서비스를 계속 이용하게 되는 현상)를 보여주고 있는 쿠팡의 ‘와우 멤버십’에 대해 공정거래위원회가 끼워팔기 여부를 조사 중인 점도 부담 요소다. 이커머스나 배달 혜택 서비스만 구독하는 멤버십은 별도로 존재하지 않는다. 앞서 ‘유튜브 뮤직’ 끼워팔기 논란을 겪었던 구글은 공정위와 논의 끝에 동영상 광고 제거 단독 구독 상품을 출시하기로 합의했다.
플랫폼업계 한 관계자는 “쿠팡이 배송·배달·OTT 등 여러 분야에서 우월한 시장점유율을 보여주고 있는 요인 중 하나는 와우 멤버십의 록인 효과 덕분”이라며 “별도 구독제가 생기면 가격에 따라 다른 플랫폼으로 갈아탈 수 있기 때문에 쿠팡 입장에서는 추가 이탈자가 생기는 걸 걱정해야 할 수도 있다”고 밝혔다.
이종우 교수는 “네이버도 ‘N배송’을 통해 주 7일 배송, 당일배송 등의 서비스를 제공하고 있는데, 쿠팡의 배송 서비스를 거의 따라잡은 상태”라며 “자영업자나 주부 등 충성 고객을 제외하면 이번 사태로 쿠팡에서 타 이커머스로 이전할 고객이 생길 가능성이 생겼기 때문에 쿠팡의 두자릿수 성장률 기조에도 차질이 생길 수 있다”고 밝혔다.
정연승 단국대학교 경영학부 교수는 “그간 쿠팡이 빠르게 성장했지만, 그 속도만큼 내부 통제 시스템을 제대로 갖추지 못했기 때문에 대가를 치르는 모양새”라며 “로켓배송 등 쿠팡의 효용, 편의성이 크기 때문에 고객 기반이 크게 무너지지 않을 것으로 예상되지만, 앞으로 이번 사태를 어떻게 대응하고 마무리 짓느냐가 신뢰 회복의 분수령이 될 것”이라고 내다봤다.
이와 관련, 앞서의 쿠팡 관계자는 “수사에 적극 협조 중이며 피해자와 피해 범위, 유출 내용을 명확히 확정하는 것이 최우선이고, 그 다음이 재발 방지 대책을 마련하는 것”이라며 “이런 부분들이 확정되면 피해 보상 관련 합리적 방안을 수립하겠다”고 밝혔다.
피싱, 계정 도용 등 2차 피해 우려…소비자 대처법은?
쿠팡 회원 3370만 명의 개인정보가 유출된 가운데, 보이스피싱이나 스미싱(문자메시지 이용 개인정보 탈취), 계정 도용 2차 피해 우려가 확산되고 있다. 소비자들의 각별한 주의가 필요하다.
방송미디어통신위원회(방미통위)는 12월 3일 “쿠팡 개인정보 유출 사고 등을 사칭한 스팸 문자가 기승을 부릴 가능성이 크다”며 “출처가 불분명한 문자의 인터넷주소(URL)를 절대 누르지 말고 전화도 받지 말 것”이라고 당부했다.
방미통위는 안드로이드 스마트폰 설정에서 ‘보안 위험 자동 차단’ 활성화를 통해 알 수 없는 출처의 앱 설치를 차단할 수 있다고 안내했다. 또 방미통위는 한국인터넷진흥원과 함께 통신사 및 삼성전자 등 단말기 제조사에 지능형 스팸 걸러내기(필터링) 강화도 요청했다고 덧붙였다.
방송미디어통신위원회가 안드로이드 스마트폰 설정을 통한 ‘보안 위험 자동 차단’ 활성화 방법을 안내했다. 사진=방송미디어통신위원회 제공12월 2일 국회 과학기술정보방송통신위원회 쿠팡 침해사고 관련 현안 질의에 참석한 김승주 고려대학교 정보보호대학원 교수는 쿠팡 이용자에게 △신용카드 등 등록된 결제수단 삭제 △카드 결제용 비밀번호 변경 △쿠팡 계정 비밀번호 변경 등을 안내했다.
황석진 동국대학교 국제정보보호대학원 교수는 “본인뿐만 아니라 가족이나 지인의 정보를 배송지로 입력했을 가능성이 있다”며 “보이스피싱이나 스미싱 등 2차 피해 주의를 주변에 이야기해주는 것도 필요하다”고 조언했다.
