국내 이커머스(전자상거래) 업계 1위 기업 쿠팡이 3370만 개의 고객 정보가 유출된 초유의 사태에 대해 사과했다. 다만 중국인 직원이 정보를 유출했다는 의혹에 대해서는 “수사의 영역”이라며 말을 아꼈다. 

박대준 쿠팡 대표는 30일 오후 정부서울청사에서 열린 관계부처 긴급 대책회의 출석해 기자들과 만나 “이번 사태로 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다”며 고개를 숙였다. 

박 대표는 ‘5개월간 정보 유출을 인지하지 못한 이유’에 대해 “그 부분은 기술적으로 설명해야 하는데, 지금 이 자리에서는 조금 긴 설명이 될 것 같다”면서 “현재 수사가 진행 중이라 상세히 말씀드리긴 어렵다. 양해해달라”고 했다. 이어 “저희가 (개인정보 유출을) 인지하고 스스로 자진신고를 했다”며 “그다음 피해자들에게 개별 통지를 했다”고 덧붙였다. 

이번 유출 사태가 ‘중국 국적 직원의 소행’이라는 의혹에 대해서는 “그것은 수사의 영역”이라며 “수사에 적극 협조 중이다. 그 얘기를 하는 것 자체가 수사에 상당한 영향을 주는 것으로 알고 있다. 그런 부분은 지금 말씀드릴 수 없다”고만 답했다. 

피해 보상에 관한 질문에는 “현재는 피해자와 피해 범위, 유출 내용을 명확히 확정하는 게 우선 급하다”면서 “그다음 급한 것은 재발 방지 대책을 수립하는 것이다. 이런 부분이 확정되면 그다음 피해에 대해 합리적 방안을 성실히 수행할 수 있을 것”이라고 했다. 

그러면서 “내부 조사 결과를 정부 기관에 투명하게 제공하고 협력하고 있다”며 “저희 혼자 단정 짓기에는 이 사안이 너무 크고 강제력이나 공권력도 필요하다. 같이 조사하고 협력해 결론을 내는 게 지금은 최선이라고 생각한다”고 부연했다.

앞서 쿠팡은 29일 오후 고객 계정 약 3370만 개가 무단으로 노출됐다고 공지했다. 당초 쿠팡은 지난 20일 개인정보 유출 피해 규모에 대해 4500개라고 발표했으나, 후속 조사 결과 피해 규모가 무려 7500배 이상 증가한 3370만개로 확인되면서 논란은 거세졌다. 

노출된 정보는 이름과 이메일 주소, 배송지 주소록에 입력된 수령인 이름·전화번호·주소, 일부 주문정보 등이다. 다만 쿠팡은 결제 정보·신용카드 번호·로그인 정보 등은 포함되지 않았다며 “별도 계정 조치를 취할 필요는 없다”고 설명했다. 특히 이번 사태는 외부 해킹이 아닌 쿠팡에서 근무했던 중국 국적 직원의 소행으로 추정되면서 쿠팡의 내부 관리 허점까지 드러났다. 

배경훈 부총리 겸 과학기술정보통신부 장관은 이날 오후 정부서울청사에서 관계기관 긴급 대책 회의를 열고 철저한 사고 조사를 약속했다. 

배 부총리는 “통신사, 금융사에 이어서 국민들이 많이 이용하는 플랫폼사까지 침해사고 및 개인 정보 유출이 발생하게 돼 송구하다”며 “정부는 지난 19일 쿠팡으로부터 침해사고 신고를 받았고, 20일 개인정보 유출을 신고받은 이후 현장 조사를 진행 중이다. 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만 개 이상의 고객 계정에서 고객명·이메일·배송지 전화번호 및 주소를 유출한 것으로 확인했다”고 밝혔다.

또한 “정부는 면밀한 사고조사 및 피해 확산 방지를 위해 금일부터 민관합조단을 가동하고 있다. 쿠팡이 개인정보보호와 관련한 안전 조치 의무를 위반했는지 여부도 조사 중”이라며 “이번 사고를 악용해 피싱, 스미싱 공격을 통해 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안공지를 진행했다”고 설명했다. 

쿠팡을 사칭하는 전화나 문자에 대해 각별한 주의를 당부한 배 부총리는 “정부는 국민 여러분의 불편과 심려를 해소할 수 있도록 관계 부처와 함께 최선의 노력을 다하겠다”고 전했다. 정부는 이날부터 3개월 동안 다크웹을 포함한 인터넷상 개인 정보 유·노출 및 불법 유통 모니터링 강화 기간으로 운영한다.