쿠팡 유출 사건, ‘1억4805만’ 숫자보다 중요한 것 [줌인IT]
||2026.02.19
쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과가 발표됐다. 민관합동조사단은 중국 국적의 전 직원이 재직 당시 관리하던 인증 서명키를 탈취해 퇴사 후 이를 위·변조해 사용했고, 약 7개월간 2313개 IP를 동원해 정보를 무단 조회했다고 밝혔다.
서명키를 하드코딩해 사용한 보안 관리 부실도 지적됐다. 권한 없는 제3자가 개인정보를 ‘열람’할 수 있는 상태만으로도 법적으로는 ‘유출’이 성립한다. 쿠팡의 관리 책임은 분명하다. 책임의 범위와 수준은 관련 절차에 따라 충분히 판단될 것이다.
조회 규모는 배송지 목록 페이지 1억4805만여회, 내정보 수정 페이지 3367만여건이다. 숫자는 압도적이다. 다만 ‘유출’이라는 표현과 수천만 단위의 숫자가 결합되면서 초기 오해와 불안이 일부 확산된 측면이 있다. 대규모 개인정보가 “범죄 집단에 넘어갔다”는 인식이 퍼졌고, 주문하지 않은 해외직구품이나 본인 모르게 이뤄진 계정 접속 사례 등이 더해지며 혼란이 증폭됐다. 그러나 이번 사건은 외부 해커 집단의 침투가 아니라, 내부자였던 전 직원이 인증 서명키를 이용해 위·변조 접근을 수행한 사례였다. 아이디·비밀번호 탈취 사고와는 구조가 다르다.
그렇다고 안심해도 된다는 얘기는 결코 아니다. 이름과 집 주소, 전화번호, 공동현관 비밀번호, 배송 관련 메모, 주문·구매 내역은 조합 방식에 따라 스토킹·사칭·표적 피싱 같은 2차 범죄에 악용될 수 있다. 실제로 조사단은 범인이 이용자의 민감한 개인물품 구매 내역 등을 포함한 유출 정보를 두 차례 쿠팡 협박에 활용한 사실을 확인했다. 이미 단순 ‘열람’을 넘어 ‘사용됐다’고 할 수 있다. 만약 이 자료가 범죄 집단에 넘어가 본격적으로 개인 대상의 협박에 쓰인다면 문제는 더욱 심각해진다.
그래서 핵심은 “얼마나 많이 조회됐는가”가 아니다. “어디까지 갔는가”다. 유출된 정보가 중국인 전 직원 1인 선에서 멈췄는지, 아니면 외부 범죄 집단 등 제3자에게 넘어가 확산됐는지에 따라 사건의 성격은 완전히 달라진다. 산업스파이가 기밀 자료를 반출했더라도 개인 보관 단계에서 파기된 경우와, 그 자료가 경쟁 기업이나 인터넷에 공개 유통된 경우의 위험 수준은 분명 다르다. 쿠팡 사건도 마찬가지다. 조사단은 외부 서버 전송 기능이 포함된 스크립트를 확인했지만, 실제 전송 여부는 기록이 남아 있지 않아 단정하지 못했다고 밝혔다. 숫자는 확정됐지만, 위험의 범위는 아직 확정되지 않았다.
피의자는 현재 중국에 체류 중이다. 범죄인 인도 요청은 했지만 협조는 진전이 없는 상태로 알려졌다. 국내 송환과 강제 수사가 이뤄지지 않는 한 추가 전송 여부를 완전히 규명하기는 어렵다.
그렇다면 이 사건에 대한 정부의 의지가 궁금하다. 법무부 차원의 범죄인 인도 요청 외에 추가적인 외교적 협의는 진행되고 있는가. 필요하다면 현지 수사 공조나 비공식 접촉을 통한 사실 확인 가능성은 열어두고 있는가.
쿠팡의 관리 책임에 대한 판단은 이미 내려졌다. 그에 따른 후속 조치도 이어질 것이다. 하지만 국민이 정말로 안심하려면 유출된 정보의 확산 여부를 끝까지 규명해야 한다. ‘1억4805만’이라는 숫자보다 중요한 것은 피의자에 대한 조사와 그에 대한 분명한 설명이다.
정종길 기자
jk2@chosunbiz.com
