국내 1위 이커머스(전자상거래) 업체 쿠팡의 3370만 개인 계정 유출 사고는 중국인 퇴직 직원이 5개월(147일) 동안 정보를 빼돌린 것으로 확인되고 있다. 쿠팡은 이를 전혀 감지하지 못했다.

온라인 커뮤니티와 SNS 등에는 "국민이 가장 만이 쓰는 플랫폼이 국민을 배신했다"며 강도 높은 비판이 이어지고 있다.

네티즌은 "쿠팡의 말처럼 몰랐다면 보안에 치명적인 구멍이 난 것이고 알고도 처음 인지했다는 수천 명의 수치로 기관에 떠넘겼다면 은폐한 것"이라고 밝혔다.

쿠팡의 입장 발표에 따르면 쿠팡은 지난 11월 18일 고객 개인정보 유출을 처음 인지했다는 입장이다.

쿠팡은 발표문을 통해 "약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다"며 "즉시 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등 관련 기관에 신고했다"고 밝혔다.

하지만 이는 쿠팡이 감지한 것이 아니었다.

쿠팡이 정보 유출을 인지했다는 날보다 이틀 앞선 11월 16일 한 쿠팡 사용자가 쿠팡에 민원을 제기했다.

이 고객은 "알 수 없는 사람으로부터 내 이름과 주소, 최근 쿠팡에서 산 품목 5개를 알고 있다는 내용의 이메일을 받았다"며 쿠팡 측에 확인을 요청했다.

쿠팡은 긴급히 검증에 나섰고 정보 유출이 일어난 사실을 파악했다.

쿠팡과 경찰 등에 따르면 개인정보를 빼돌린 용의자는 쿠팡에서 퇴직한 중국 국적의 개발자다.

그는 퇴직해 회사 개인정보 접근 권한이 없었지만 중국에서 쿠팡 고객들의 개인정보를 빼돌린 것으로 알려졌다.

이 중국인 용의자는 쿠팡 측에 "고객 정보를 갖고 있다. 보안을 강화하지 않으면 유출 사실을 알리겠다"는 내용의 협박성 메일도 보낸 것으로 알려졌다. 해커들이 범행이 들통났을 때 돈을 요구하며 흔히 하는 행동이다.

쿠팡은 중국 국적의 전 직원이 범행을 저질렀을 가능성에 대해 부인을 하지 않고 있다.

경찰은 11월 25일 쿠팡으로부터 고소장을 접수하고 수사에 착수했다.

쿠팡은 지난 6월 24일 개인정보 탈취 시도가 시작된 것으로 파악하고 있다.

이 중국인은 퇴사 후 중국으로 가 재직 당시 확보한 것으로 보이는 토큰(데이터 접근 열쇠)을 이용해 147일간 3370만 계정의 데이터를 모은 것으로 파악된다.

퇴직자 한 명이 사실상 쿠팡의 모든 고객 정보를 빼돌리는 동안 쿠팡의 보안 시스템이 전혀 작동하지 않았다. 이해하기 힘든 대목이다.

보안 업계에선 중국인 퇴직자가 거대 해킹 조직이나 산업 스파이와 연계됐을 수 있다는 배후설도 제기된다.

유통 업계 관계자는 “최근 글로벌 기업에서 중국 등에서 온 산업 스파이가 위장 취업을 시도하는 사례가 잇따르고 있다”고 전했다.

문제는 쿠팡이 정부의 보안 인증을 받았다는 사실이다.

쿠팡은 2021년 과학기술정보통신부와 개인정보보호위원회가 인증하는 국내 최고 권위의 보안 인증인 ISMS-P를 취득했고, 2024년에는 재심사를 거쳐 인증을 갱신했다.

정부의 인증 제도가 요식 행위란 의미다.

이번 사태로 유출된 개인정보에는 이름, 이메일 주소뿐 아니라 배송지 주소록(전화번호·주소 등)까지 포함돼 있다.

상품명, 수량, 결제 날짜 등 이용자의 최근 5건 주문 정보도 유출됐다. 즉 현재 거주지와 생활 패턴을 확실하게 알 수 있는 최신 정보다.

쿠팡은 "결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았다"고 밝혔지만 이용자들로선 쿠팡의 해명을 믿을 수 없는 것이다.

또 쿠팡은 당초 계정 4500개만 노출됐다고 발표했지만 불과 11일 만에 3370만 개로 늘어났다.

따라서 경찰과 KISA 합동 조사에 따라 피해 규모나 내용이 달라질 가능성을 배제할 수 없다.