[지디넷코리아]
쿠팡 개인정보 유출 사고를 둘러싼 피해 규모가 수차례 달라지며 혼란이 커지고 있다.
약 4500건에서 시작된 유출 인지는 이후 3370만 건의 접근 사실로 확대됐고, 그후 쿠팡이 자체 조사 결과를 토대로 해킹범이 실제로 저장한 정보는 3000건에 불과하다고 밝혀 사고 범위에 대한 공방이 이어져 왔다.
그러나 최근 동일 사건에서 16만여 건의 추가 유출이 확인되면서, 쿠팡 개인정보 유출 피해 규모를 둘러싼 논란과 진실공방은 재점화 됐다.
결론적으로 현재까지 추산된 쿠팡의 개인정보 유출 수는 3370만건에서 16만5000여건을 더한 3386만5000건이다.
이번 개인정보 유출 사건은 쿠팡이 지난해 11월 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝히며 처음 공개됐다. 초기에는 내부 모니터링 등을 통해 확인된 제한적인 범위가 제시됐다.
이후 후속 조사가 진행되면서 사고의 성격은 달라졌다. 쿠팡은 해외 서버를 통해 2025년 6월 24일부터 권한 없는 접근이 이뤄졌고, 이 과정에서 약 3370만 개 고객 계정의 개인정보에 접근이 가능했던 정황이 확인됐다고 11월29일 밝혔다.
노출된 정보는 이름, 이메일, 배송지 주소록, 일부 주문정보로 제한됐으며 결제 정보나 로그인 정보는 포함되지 않았다는 점을 함께 강조했다.
이후 쿠팡은 두 번째 입장문을 통해 해킹범을 특정했고, 고객 정보 접근에 사용된 모든 장치를 회수했다고 밝혔다.
포렌식 조사 결과 해킹범은 3300만개 계정 정보에 접근했지만 실제로 저장한 정보는 약 3000개 계정에 불과했고, 이 역시 언론 보도 이후 모두 삭제됐으며 외부 전송은 없었다는 주장이었다. 공동현관 출입번호 2609개가 포함됐지만 결제 정보, 로그인 정보, 개인통관고유번호는 접근·유출되지 않았다고도 덧붙였다.
이 단계에서 쿠팡측 설명은 사고를 해킹범의 실제 행위 중심으로 좁히는 방향으로 이동했다. 저장된 정보의 규모와 삭제 여부, 외부 전송 부재를 강조하며 추가 유출 가능성은 없다는 점을 분명히 했다.
그러던 쿠팡은 지난 5일 오후 개인정보보호위원회에 16만5455개 계정 정보가 추가로 유출됐다고 신고했다. 유출된 정보는 이름, 전화번호, 주소다.
회사는 피해를 입은 가입자들에게 “관련 당국의 조사 과정을 거치며 지난 11월 발생했던 것과 동일한 개인정보 유출 사건에서 약 16만 5천여 건 계정의 추가 유출이 확인됐다”고 통지했다.
쿠팡이 자체 조사에서 피해 규모를 3000건으로 한정했던 것은 해킹범이 실제로 저장한 정보에 초점을 맞췄기 때문이다.
반면 정부 조사는 개인정보보호법상 기준에 따라 권한 없는 자가 개인정보에 접근할 수 있었는지, 즉 외부 노출 가능성이 발생했는지를 중심으로 유출 여부를 판단한다.
이 기준에 따르면 유출 규모는 조사 결과에 따라 더 확대되거나 조정될 가능성도 있다.
정부 관계자는 “권한 없는 자가 개인정보에 접근할 수 있었다면, 그 자체로 유출로 판단할 수 있다”고 설명했다.
개인정보보호위원회 관계자는 “이번에 추가로 신고된 16만5천여 개 계정에 대해서도 조사 과정을 통해 엄밀하게 검증할 계획”이라며 “현재 민관합동조사단과 함께 쿠팡 회원 계정은 물론 비회원 정보까지 포함해 정확한 유출 규모와 경위를 철저히 조사하고 있다”고 말했다.
미국에서는 하원 법사위원회가 ‘쿠팡 사태’와 관련해 공식 조사에 착수하고, 해롤드 로저스 쿠팡 한국법인 임시 대표에게 소환장을 발부했다. 법사위는 이번 조사가 한국 정부가 미국 기업을 차별적으로 표적화했는지 여부를 살피기 위한 것이라며, 로저스 대표에게 한국 정부와 쿠팡 간 문서와 통신 기록 제출, 위원회 증언을 요구했다.
미 하원 법사위는 한·미 무역협정이 디지털 서비스 분야에서 미국 기업에 대한 차별을 금지하고 있음에도 한국 정부가 미국 소유 기업을 부당하게 겨냥해 왔다고 주장했다.
국내에서는 로저스 대표가 국회 ‘쿠팡 사태 연석 청문회’에서 위증한 혐의로 고발돼 6일 경찰 조사를 받았다. 로저스 대표는 지난해 12월 청문회에서 쿠팡의 이른바 ‘셀프 조사’가 국가정보원 지시에 따른 것이라고 증언했으나, 국정원은 이를 전면 부인했고 이후 국회 과학기술정보방송통신위원회는 로저스 대표를 포함한 쿠팡 전·현직 임원 7명을 국회증언감정법 위반 혐의 등으로 고발했다.
이 가운데 미국 정치 전문매체 리얼클리어폴리틱스에는 한국 정부의 쿠팡 규제가 한·미 갈등으로 번질 수 있다는 칼럼이 게재되는 등 이번 쿠팡 사태가 외교·통상 이슈로까지 확산될 가능성이 거론되고 있다.