쿠팡 개인정보 유출사건! 시간은 쿠팡의 편이 되면 안됩니다

안녕하세요.

 

저는 이번에 수천만의 고객정보가 유출 된 '쿠팡 개인정보 유출' 사태에 대해서 이야기를 해보고자 합니다. 워낙 크게 주목 받은 사건이다 보니 대략적으로 어떤 사건 인줄 아시겠지만 한번 세부적으로 정리를 해보고 이번 사태에 대한 저의 생각도 이야기를 해보려고 해요.

 

 

 1. 사고 개요

 

이번 사고는 대한민국 약 3,370만건의 고객 계정 정보가 유출 된 사고로서 이 규모는 쿠팡의 사실상의 전체 규모라고 할 수 있는 수치 입니다. 

 

 

현재 추정하기로 해외 거주 중인 중국 국적 전 직원이 피의자로 추정되고 있으며 처음 언론에 공개되기로는 11월 18일자로 4,500건 유출이라고 나왔지만 11월 29일 공식발표로 3,370만명이라는 엄청난 수치로 다시 발표 됩니다. 

 

 

 2. 유출 정보

 

이번 사고로 유출 된 개인 정보는 이름, 휴대전화 번호, 이메일 주소등의 고객 식별 정보로 그치지 않고 쿠팡 특성상 배달을 주 목적으로 운영하기에 수취인 주소, 배송지 수소등의 내 정보가 그대로 유출 되어 사태의 심각성을 나타내고 있는데요 주소까지 그대로 유출 되어 2차 피싱이나 사기에 악용 될 소지가 굉장히 높아졌습니다.

 

 

 

 3. 사고 원인

 

이 사고는 외부 해킹보다는 내부 시스템 관리 실패로 인해 발생했다는 지적이 많습니다. 

 

첫째! 퇴사한 전 직원의 인증 토큰(Access Token) 서명키가 회수되지 않아 해당 직원이 해외 서버를 통해 장기간 고객 정보에 접근할 수 있었다는 허점이 있었다는 점,

 

둘째! 5개월이 넘는 기간 동안 지속적인 비정상 접근이 탐지되지 않았습니다는 점에서 내부 모니터링 및 보안 관리 시스템의 심각한 허점이 지적되었습니다.

 

셋째! 주요 피의자가 중국 국적의 전직 개발자로 알려지면서, 해외 인력 및 외주 조직의 보안 접근 권한 관리에 대한 문제가 도마 위에 올랐습니다.

 

 

이렇게 대략적으로 이번 쿠팡의 개인정보 유출 사고의 개요, 유출 정도, 원인등에 살펴 봤는데요 제가 이번 사태에서 더욱 우려하는 이유는 바로 '쿠팡의 대처' 때문 입니다. 글을 작성하는 현재 까지도 안일한 태도를 유지하고 있는 쿠팡의 대처가 국민으로서 피해자로서 마치 조롱 받고 있는 느낌마저 듭니다. 

 

 

 

<<쿠팡의 괘씸한 대처 및 행보>>

 

 

이번 쿠팡 사태가 심각한 점이 무엇이냐면 최초로 유출 되었다는 시기는 25년 6월 24일 이고 신고는 11월 20일 입니다. 간극이 5개월이나 되지만 이 5개월이 되는 기간 동안 유출의 정도를 전혀 파악을 하지 못했다는 점 입니다. 최초 쿠팡은 4,500명의 피해가 있다고 했지만 이는 잘못된 것으로 3,370만개가 털렸으니까요.

 

 

게다가 이번 유출은 기존의 유출 피해들과는 다른것이 '주소지' 까지 포함 되어 있다는 거죠. 내 집도 공공재로 세계 어느곳으로 돌아다니는 자료가 되었다니 허탈 합니다. 공공현관의 비밀번호까지 포함되었을 테니 심각한 상황이죠.(하지만 쿠팡은 이러한 내용은 공지에 언급 안했습니다)

 

 

그리고 카드결제 정보 및 패스워드 정보는 유출 안되었다고 했지만 예전 롯데카드 역시 그렇게 발표했다가 3개월 뒤에 롯데카드 정보가 297만명 유출 되었다고 밝혀졌으니 이번에는 얼마나 큰 피해가 있을지 모르니 그대로 쿠팡 측 말을 믿기 어렵다고 봅니다.

 

이번 사태에서 더욱 쿠팡에게 괘씸함을 느끼는 부분은 또 있습니다. 쿠팡은 고객 3370만 명의 개인정보가 유출되기 전 ‘해킹, 불법 접속 등으로 인한 손해에 대해 회사가 책임지지 않는다’는 면책 조항을 이용 약관에 추가한 것으로 확인됐습니다. 이런 조항 말이 되나요? 불법적인 접속 이나 서버의 이용으로 발생하는 손해에 책임을 지지 않겠다는 말입니다. 이 조항은 지난해 3월까지 없었던 조항이죠.

 

 

이러한 독소조항은 G마켓·SSG닷컴·11번가 등 주요 e커머스 사업자들 가운데 이용 약관에 쿠팡과 같은 면책 조항을 둔 곳은 없을 정도로 이례적인 일입니다. 이러한 약관 변경을 우리 소비자에게 제대로 알리지 않은 점 또한 문제의 소지가 될 겁니다. 알아보니 소비자에게 불리한 내용으로 바꿀 경우에는 반드시 사전에 고지 해야 한다고 하네요(약관의 규제에 관한 법률) 이러한 악의적인 의도가 보이는 조항은 무효라고 생각하고 전문가들 역시 그렇게 보고 있더군요. 

 

 

이렇게 소비자들 몰래 큰 사고가 터졌을때 나몰라라 조항을 삽입 해놓은 쿠팡은 이번 사태가 터지자 쿠팡측 통지에는 개인정보 '유출' 을 개인정보 '노출' 이라고 소극적으로 고객들에게 문자를 보냈다는 점이 소비자를 기만하고 있고 이미 유출의 시작 부터 어떻게 하면 조용하게 넘어가볼까 하는 궁리만 했다는게 여실히 드러난 대처 라고 볼 수 있죠.

 

 

<앞으로의 대처..?>

 

여전히 쿠팡 사이트에 접속을 하면 제대로 된 사과문을 올리지 않고 있는 상황 입니다. 분명 이렇게 큰 사태가 났음에도 불구하고 조용히 흘러가서 잊혀지기를 바라는 거라 생각 합니다. 개인정보위원회는 이번 사고를 계기로 과징금 강화와 징벌적 손해배상 실효화 등 실질적인 제재 강화 방안을 검토하고 있다고 하네요.

 

우리는 우리의 개인정보들이 한두번 유출 된것이 아니다보니 우스갯소리로 '이미 내 개인정보는 공공재 아니야?' 이런 소리를 하곤 합니다. 보이스피싱 전화나 문자가 끊임없이 오는 이유와 무관하지 않겠죠. 하지만 우리가 무뎌지는 만큼 기업들도 마찬가지 입니다. 이러한 개인정보 유출을 그러려니 하는 미온적이고 괘씸한 대처들은 앞으로 상상하기 힘든 제2의, 제3의 대규모 피해를 입힐 거라고 확신 합니다. 

 

 

<쿠팡에게..>

 

업계에 이렇다 할 경쟁자가 없으니 어쩌면 이러한 태도는 당연할지도 모릅니다. 여전히 쿠팡에서 탈퇴를 하려면 7단계의 복잡한 절차가 필요하고 사과문은 불과 이틀만에 다시 광고로 바뀌었으니까요. 

 

 

우리는 이미 쿠팡의 로켓배송에 익숙해져 있고 로켓배송으로 인해서 벌이를 하는 쿠팡 입점 소상공인들도 있습니다. 또한 배송으로 생계를 이어가는 기사님들도 있습니다. 이러한 구조속에 쿠팡은 시간이 지나가기를..잊혀지기를 바랄 겁니다. 왜 피해를 입은 피해자들이 여기저기 정보를 찾아가며 대처를 해야하고 정작 관리를 하지 못한 기업은 아무런 조치도 취하지 않고 있는지 이러한 뒤바뀜이 허탈 합니다.

 

 

하지만!

 

시간은 쿠팡의 편이 되어서는 안됩니다. 

 

단호하고 엄정하게 대처하여 절대 소비자를 무시하는 태도를 보이지 못하도록 보여줘야 합니다. 

 

 

쿠팡 서플 뉴스

https://spt.co.kr/news/cmir0s2oe0052qdrk6ebr66ly