탈퇴회원 정보까지 털린 쿠팡…"밀수 악용될라" 통관부호 재발급 쇄도
by윤정훈 기자
2025.12.02 17:36:00
박대준 대표 "휴먼·탈퇴 회원도 유출"
사태 이틀 만에 사과문 삭제 논란엔
"팝업공지…향후 이메일로 안내"
쿠팡 보안투자 전체 매출 0.2% 불과
투자자 신뢰 흔들…주가 하루새 5% ↓
[이데일리 윤정훈·이소현 기자]쿠팡 개인정보 유출 사태가 단순한 정보 유출을 넘어 통관 불안으로까지 번지고 있다. 유출된 개인정보가 해외 밀수·불법 배송 등에 악용될 수 있다는 우려가 커지면서, 최근 개인통관고유부호 재발급 건수가 이틀 만에 평년 대비 수 배 가까이 폭증한 것으로 나타났다. 또한 쿠팡 회원 3370만명 개인정보 유출 피해에는 탈퇴 회원까지 포함된 것으로 공식 확인돼 불안감은 더욱 확산되는 분위기다.
2일 국회 과학기술정보방송통신위원회에 출석한 박대준 쿠팡 대표는 고개 숙여 사과했지만, 유출자의 신원·접근 경로 등 핵심 질문에 명확한 답을 내놓지 못해 의혹을 키웠다. 박 대표는 이날 과방위 현안 질의에서 “한국 법인에서 벌어진 일이며 제 책임하에서 발생한 만큼 사과드린다”고 밝혔다.
이어진 질의는 유출을 일으킨 전 쿠팡 직원의 신원과 배경에 집중됐다. 박정훈 국민의힘 의원은 유출 정보가 보이스피싱 등 범죄조직으로 흘러갔는지 확인이 필요하다며 “유출자가 조선족인지, 중국 국적자인지”를 직접적으로 물었다. 그러나 박 대표는 “현재 수사가 진행 중”이라며 답변을 피했다. 브랫 매티스 쿠팡 정보보호최고책임자(CISO)도 “전 직원의 동기에 대해 말할 수 있는 상황이 아니다”라며 “경찰 조사가 진행 중이기 때문에 답변이 어렵다”고 선을 그었다.
피의자인 전 직원 A씨는 퇴사 후에도 인증용 토큰을 이용해 5개월간 쿠팡 서버에 상시 접근하며 고객 정보를 비정상적으로 수집한 것으로 드러났다. 이는 쿠팡의 보안관제시스템(SOC)이 내부자 공격에 사실상 무력화되었음을 보여주는 사례라는 지적이 나온다. 매티스 CISO는 “행위자가 서로 다른 소스와 여러 개의 IP를 사용해 접근한 것으로 보인다”며 “접근량이 각각 보안관제 시스템의 임계치 아래로 기록돼 탐지되지 못했다”고 설명했다. 김승주 고려대 정보보호대학원 교수는 “퇴직자가 전자서명키에 접근할 수 있었던 사실 자체가 내부 통제 실패로 봐야 한다”고 지적했다.
| | 박대준 쿠팡 대표가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에 출석해 고개 숙여 인사를 하고 있다.(사진=연합뉴스) |
|
쿠팡 개인정보 유출 피해자에는 탈퇴 회원까지 포함된 것으로 확인됐다. 박대준 대표는 “일부 포함됐을 것으로 보인다”며 “휴면 여부나 탈퇴 여부와 관계없이 피해 사실을 안내했다”고 말했다.
이번 유출로 이름·이메일·휴대전화번호·주소 등이 노출된 고객은 3370만명에 달한다. 그러나 쿠팡의 3분기 기준 활성 고객 수가 2470만명인 점을 감안하면, 약 900만명은 휴면 또는 탈퇴 회원이었던 것으로 파악된다.
그럼에도 쿠팡은 사과문을 이틀 만에 삭제해 논란을 키웠다. 박 대표는 “배너와 팝업 공지로 안내했고, 공지 기간 종료 후에는 이메일 안내를 준비 중이었다”고 해명했다.
보안 투자 수준에 대한 지적도 이어졌다. 한국인터넷진흥원(KISA)에 따르면 올해 쿠팡의 정보보호 투자액은 890억원으로, 지난해 매출 41조2900억원 대비 0.2%에 불과하다. IT 전체 투자 규모 1조9171억원 역시 매출 대비 4.6% 수준에 그친다. 최수진 국민의힘 의원은 “매출과 이용자 규모를 고려하면 이 정도 보안 투자는 턱없이 부족하다”고 지적했다. 같은 당 신성범 의원도 “200명 넘는 보안 조직을 두고도 5개월간 접근 기록을 탐지하지 못했다는 건 조직 능력을 의심케 한다”고 비판했다.
유출 사태 이후 소비자들 사이에서는 ‘개인통관고유부호’ 재발급이 급증하며 통관 불안이 퍼지고 있다. 쿠팡이 해외직구 서비스도 운영하는 만큼 해당 정보가 밀수 등 불법 유통에 악용될 수 있다는 우려 때문이다. 정일영 의원실이 관세청에서 제출받은 자료에 따르면, 통관부호 재발급 건수는 11월 30일 12만3302건, 12월 1일 29만8742건으로 이틀 만에 42만건 이상 발생했다. 이는 올해 1~10월 전체 재발급 건수(11만1045건)의 약 네 배에 달하는 규모다. 최 의원은 “해외에서 승인되지 않은 물품이 해당 번호로 통관될 경우 국가 전체의 안전 문제가 될 수 있다”며 쿠팡 측의 철저한 확인을 촉구했다.
정부의 안일한 대응도 도마에 올랐다. 쿠팡이 최초로 신고한 11월 19일 이후, 과기부 민관합동조사단이 꾸려지기까지 11일이나 걸린 것 때문이다. 정부는 초기 신고 규모가 약 4500건으로 상대적으로 작게 파악되면서 관련 절차를 밟는 데 시간이 걸렸다고 해명했다.
과방위 의원들은 과기부, 개인정보보호위원회(개보위), KISA, 경찰 등 여러 기관으로 역할이 흩어져 있는 파편화된 대응 체계도 문제라고 지적했다.
배경훈 과기정통부 부총리 겸 장관은 “현재 부처 간 사이버 안보 대응체계를 운영하고 있으며, 국정원과도 긴밀히 협조하고 있다”고 설명했다. 이어 “연내 발표될 2차 종합대책에서 사이버안보 컨트롤타워 구축 방안을 검토하고 있다”며 필요성에 공감한다고 밝혔다.
징벌적 손해배상제 도입 요구도 제기됐다. 이훈기 의원은 현행 ‘매출의 3%’ 수준인 과징금을 10%까지 상향해야 한다고 주장했다.
배 부총리 역시 “국민 피해와 불안을 초래하는 사안에 대해서는 징벌적 손해배상을 통해 재발을 막는 것이 중요하다”고 말했다.
한편, 전날 뉴욕증권거래소에서 쿠팡의 주가는 전일 대비 5.36% 하락한 26.65달러에 거래를 마쳤다.