최근 발생한 ‘CU 택배 개인정보 유출’ 사태는 편의점 업계의 택배 서비스 경쟁 과정에서 소홀했던 보안과 데이터 관리에 점검 필요성을 제기한다. 속도와 가격 중심의 택배 경쟁이 부른 불가피한 사고였다는 지적도 나온다. 

편의점 택배 시장이 CU를 중심으로 빠르게 성장하는 가운데 운영 안정성과 정보보호 체계가 사업 확장 속도에 걸맞게 구축됐는지 점검할 필요가 있다는 것이다. 

특히 편의점 택배 서비스가 중고거래와 비대면 거래 확산을 바탕으로 생활 밀착형 플랫폼으로 자리 잡은 만큼, 이용자 편의성 제고와 사업 확장뿐 아니라 개인정보 보호와 보안 관리 체계 강화도 함께 이뤄져야 한다는 목소리가 커지고 있다.

8일 유통업계에 따르면 CU편의점 택배를 운영하는 BGF네트웍스는 이번 개인정보 유출 사태로 현재 개인정보보호위원회와 한국인터넷진흥원(KISA) 등 관계기관을 통해 유출 규모와 경위를 조사받고 있다. 구체적 피해 규모는 앞으로의 조사 결과로 명확해질 것으로 보인다.

이번 사태는 지난 4일 신원 미상의 해커에 의해 개인정보가 유출된 정황이 확인되면서 드러났다. 유출된 정보로는 온라인 회원 고객의 아이디, 이름, 생년월일, 성별, 주소, 이메일, 휴대전화번호 등 기본 정보와 함께 ‘단방향 암호화 처리된 비밀번호’와 ‘연계정보(CI)’ 등이 포함됐다.

BGF 측은 이번 사건이 “자체 웹의 취약점을 이용한 외부 침입”에 의해 발생했다고 설명했다. 해당 취약점이 웹 설계 단계에서 비롯된 구조적 문제인지, 운영 과정의 보안 관리 미흡인지는 추가 조사가 필요한 상황이다. 다만 이번 사안을 계기로 편의점 택배 플랫폼 전반의 보안 체계를 다시 점검해야 한다는 목소리도 나온다. 

이러한 보안 관리 문제는 편의점 택배 시장의 빠른 외형 성장 과정에서 업체 간 서비스 확장 경쟁이 심화되면서 개인정보 관리 체계가 속도를 충분히 따라가지 못한 구조적 한계와 맞물려 있다는 해석으로도 이어진다.

편의점 택배 시장은 기존 점포 기반 단순 접수형에서 방문 수거형 서비스와 초저가 알뜰택배까지 확대되며 경쟁이 심화되고 있다. 편의점 업계는 할인 프로모션 확대, 배송사 다변화, 자체 물류 기반 서비스 도입 등을 통해 이용자 확보 경쟁을 이어가고 있다.

실제로 CU는 그동안 공격적 확장 전략을 이어오면서 외형이 빠르게 확대돼 왔다. BGF네트웍스의 택배 매출은 2024년 251억 원에서 2025년 511억 원으로 1년 만에 두 배 이상 늘었다. 서비스 이용 건수 역시 빠른 증가세를 보였다. CU의 택배 이용 건수 신장률을 보면 2024년 1년 전보다 12.7% 늘었고, 지난해 11월까지의 집계 기준으로도 신장률은 2024년보다 9.1% 증가했다. 방문택배 서비스는 출시 직후 보름 만에 5천 건을 돌파했으며, 알뜰택배 비중은 2020년 1.8%에서 2024년 27.4%로 확대되는 등 이용 구조 변화도 나타났다. 

이번 사고는 안전한 거래 수단으로 인식돼 온 편의점 택배 서비스에 대한 소비자 신뢰에 적지 않은 영향을 미칠 수 있다는 우려가 제기된다. 또한 이번 사건은 편의점 택배처럼 생활 밀착형 플랫폼에서 발생했다는 점에서 체감 위험이 더욱 크게 작용할 수 있다는 지적도 나온다. 이용자 입장에서는 택배 서비스 이용 과정에서 제공한 개인정보가 어디까지 안전하게 관리되는지에 대한 신뢰 문제가 다시 제기될 수밖에 없다는 것이다.

특히 젊은 여성층의 편의점 택배 이용 비중이 높다는 점은 이번 개인정보 유출 사태에 따른 신뢰 훼손이 상대적으로 크게 작용할 수 있는 요인으로 꼽힌다. 편의점 업계에서는 이들이 비대면 거래 확산과 함께 주소 노출을 최소화할 수 있다는 점 등 안전성에 대한 인식을 바탕으로 편의점 택배를 이용하는 경향이 있는 것으로 보고 있다. 한 편의점 택배업계 관계자는 “중고 거래 과정에서 제3자에게 직접 주소를 노출하지 않아도 되는 구조 때문에 여성 이용자가 많은 편”이라고 말했다. 

실제로 GS25 반값택배의 경우 2021년 기준 이용 고객 중 약 72%가 중고거래 목적으로 이용했으며, 20~30대가 전체의 약 80%, 여성 비중은 약 79%를 차지한 것으로 집계됐다. 세븐일레븐 역시 2023년 기준 여성 이용자 비중이 약 70%로 남성보다 높은 수준을 기록했다. 

이번 유출 대상 범위가 단순 개인정보를 넘어 본인인증과 연결되는 값인 CI(Connecting Information, 연계정보)를 포함하고 있다는 점에서 단순한 신뢰 훼손을 넘어 2차 피해 가능성에 대한 우려로 확산되고 있다. CI는 주민등록번호를 대신해 개인을 식별하기 위해 본인확인기관이 생성하는 고유 식별 값으로, 서로 다른 서비스 간 동일 인물 여부를 구분하는 데 활용된다. 이 때문에 본인 인증 체계와 연계된 정보로 분류되며, 다른 서비스 계정 접근 시도나 사회공학적 공격 과정에서 보조 정보로 활용될 수 있다는 우려가 제기된다.

BGF 측은 유출된 비밀번호가 단방향 암호화 방식으로 저장돼 있어 원문 확인이 불가능하고, CI 역시 단독으로는 본인 인증에 활용되기 어려운 구조라고 설명했다. 이에 따라 직접적 계정 탈취나 명의도용 가능성은 제한적이라는 입장이다. 하지만 비밀번호 재사용이나 외부 서비스와의 연계 가능성 등을 고려할 경우, 위험을 100% 차단했다고 단정하기는 어렵다는 시각도 나온다.

BGF네트웍스 관계자는 “조사에 적극 참여하고 있으며 별도의 모니터링을 이어가고 있다”며 “전체 고객에게 이메일 안내를 완료했고 추가 위험이 있는 고객에게는 문자로 별도 안내를 진행했다”고 말했다.