쿠팡 ‘3천만명 개인정보 유출’…스미싱·보이스피싱 2차 피해 우려 급증
피해 신고·소송 준비 카페 폭발적 증가

사진=쿠팡
쿠팡에서 약 3천만 건이 넘는 고객 개인정보가 유출된 사실이 드러나면서 소비자 불안이 빠르게 확산되고 있다. 유출 규모가 처음 발표된 4천500여 개 계정에서 불과 9일 만에 3천370만 개로 급증한 가운데, 늦장 대응·허술한 보안 관리·불투명한 내부 조사 등 쿠팡의 전반적 대응에 대한 비판도 거세지고 있다.

국내 e커머스 1위 기업인 쿠팡은 지난 29일 고객 이름, 전화번호, 주소, 이메일, 일부 주문 내역 등이 무단 노출됐다고 밝혔다. 결제 정보와 신용카드 번호는 유출되지 않았다고 선을 그었지만, 이미 스미싱과 보이스피싱 가능성이 크게 높아진 상황에서 소비자들의 불안은 쉽게 가라앉지 않고 있다. 특히 쿠팡이 내부적으로 해당 공격이 지난 6월 24일부터 시작된 것으로 추정하면서, 무려 5개월 동안 이를 알아채지 못했다는 사실이 알려지며 충격은 더 커졌다.
사진=쿠팡
경찰도 협박성 이메일 정황을 포착해 수사에 속도를 내고 있다. 쿠팡이 ‘회원 개인정보를 갖고 있다’는 메시지를 받았고, 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다는 내용이었다는 것이다. 금전 요구가 없었다는 점에서 단순 협박이 아닌 추가 목적이 있었는지 여부도 주목된다. 경찰은 쿠팡으로부터 서버 기록 등 자료를 임의 제출받아 분석 중이며, “다수 국민이 피해를 입은 사안인 만큼 신속한 수사를 진행하겠다”고 밝혔다.
정부와 개인정보보호위원회, 과학기술정보통신부도 긴급 대응에 나섰다. 민관합동조사단이 꾸려져 사고 원인을 분석하고 있으며, 개인정보보호위는 안전조치 의무 위반 여부가 확인되면 엄정 제재하겠다는 입장이다. 역대 최대 규모였던 SK텔레콤 개인정보 유출( 약 2천324만 명)을 넘어선 사안이 된 만큼 쿠팡에도 막대한 과징금이 부과될 가능성이 제기된다.

이용자 불안은 현실 행동으로도 이어지고 있다. 쿠팡에 등록한 카드 정보를 삭제하거나 자동 결제 중인 ‘와우 멤버십’을 해지하는 등 자체적 방어에 나서는 사례가 늘고 있다. “모르는 기기로 로그인돼 있었다”는 다수의 제보까지 나오면서, 쿠팡 측의 “결제 정보는 안전하다”는 설명조차 신뢰를 얻지 못하고 있다.
사진=쿠팡
쿠팡의 문자 통보 시점이 들쭉날쭉해 ‘늦장 통보’ 논란도 커졌다. 어떤 고객은 지인들이 통보 문자를 받을 때 아무 연락이 없어 안심했다가 하루 뒤에 연락을 받았다고 주장했다. 쿠팡은 대상 고객이 매우 많아 순차 발송했다고 설명했지만 수용되지 않는 분위기다.
또한 쿠팡을 겨눈 집단소송 움직임도 가속화되고 있다. 29일부터 양일간 쿠팡 집단소송을 준비하는 네이버 카페만 10곳 가까이 생겼으며, 그중 한 카페는 가입자 수가 8천 명을 돌파했다. 관련 게시글도 5천 건에 이르며, “일정 인원이 모이면 정식 소송 절차에 들어가 보상을 요구할 것”이라는 공지가 올라왔다.

전문가들은 2차 피해를 막기 위한 즉각적 조치를 강조한다. 비밀번호 변경, 등록 카드 교체, 불분명한 발신자의 문자 URL 절대 클릭 금지 등이 대표적이다. KISA도 “피해 사실 조회·환불 등을 사칭한 스미싱이 확산될 가능성이 크다”며 각별한 주의를 당부했다.
한편 박대준 쿠팡 대표는 정부서울청사에서 열린 긴급 대책회의 자리에서 “고객과 국민께 심려를 끼쳐 죄송하다”며 고개를 숙였다. 하지만 중국인 전직 직원 연루설 등에 대해서는 “수사 중인 사안이라 말씀드리기 어렵다”며 답변을 피했다. 피해 보상에 관해서도 “범위와 내용을 명확히 확정하는 것이 먼저”라며 구체적 언급을 하지 않아 소비자들의 답답함은 이어지고 있다.

김은정 기자 kej@news-wa.com