역대급인 3370만 계정(개인정보)이 털린 쿠팡의 '꼼수 대응'을 두고 비판의 목소리가 점차 커지고 있다.
쿠팡은 지난 11월 29일 발표한 입장문을 통해 "노출 피해는 4000여 명뿐"이라고 밝혔다. 이어 "결제·신용 카드·로그인 정보는 유출되지 않았다"고 강조했다.
하지만 고인정보 '유출'을 '노출'로 적시해 일상적인 피해로 인식하도록 하는 꼼수를 부렸고 피해 규모도 고작 4000여 명이라며 규모조차 파악하지 못했다. 그것도 사건 발생 5개월 후 이용자가 탈취자에게서 협박성 메일을 받고서야 인지했다.
특히 탈취자가 외부 해킹 등이 아닌 내부 직원일 가능성이 커지면서 조직 내 개인정보 관리·감독 기능이 작동하지 않은 것으로 여겨지고 있다.
쿠팡의 월간 '활성 사용자'는 지난 3분기 기준 2470만이다. 이번 유출 사고로 3370만 개인정보가 빠져나가 '비활성 고객'까지 포함하면 사실상 모든 고객 정보가 유출된 것으로 예상된다.
하지만 쿠팡은 사태 초기부터 입장문과 안내문 등에서 '유출'이 아닌 '노출'이라는 표현을 썼다.
쿠팡은 시스템 해킹을 당했으면 유출인데, 이번 사고는 시스템 해킹이 아니라는 주장이다.
하지만 '노출'은 일반 데이터들이 일반인에게 공개된 것이다. 물론 경미한 과실로도, 중대한 과실로도 발생한다.
반면 '유출'은 외부 해킹이나 내부자의 악의적인 행위는 물론 기업의 중대한 과실로도 생긴다.
외부인에 의해 3370만 개란 엄청난 계정이 빠져나갔는데도 경미한 과실인 노출이란 낱말을 끌어와 '말장난'을 하고 있다는 지적이다.
내부 직원이 인증키로만 자료를 유출했다고 하지만 외부에서 해킹을 하는 해커들도 시스템 해킹인 악성 코드 말고도 인증키 내용을 파악해 침입한다. 전쟁과 같이 깨부수고 들어오지 않는다는 말이다.
쿠팡은 이번 사고 원인에 대해 '해외 서버를 통한 비인가 조회'라고 설명했다. 접근 권한이 없는 내·외부자가 고객의 개인정보에 접근했다는 뜻이다.
이와 관련, 배경훈 과학기술정보통신부 장관은 30일 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만 개 이상 고객 계정의 고객명, 이메일, 배송지 전화번호 및 주소를 유출한 것으로 확인했다”고 했다.
이 때문에 향후 쟁점은 쿠팡이 접근 권한 관리와 통제를 제대로 하고 있었는지가 될 것으로 보인다.
내부 보안 전문가나 시스템 관리자에 대한 관리·감독이 제대로 되고 있었는지의 여부다.
업계에서는 쿠팡 사고가 역대 최대 과징금 처분을 받을 것으로 관측하고 있다.
그동안 개인정보 유출과 관련해 최대로 받은 과징금은 SK텔레콤의 1347억 9100만 원이다.
이번 유출 개인정보 규모가 SK텔레콤 사고보다 큰데다 내부 직원 소행이라면 책임을 더 무거울 수도 있다.