한국 최대 전자상거래 기업 쿠팡의 대규모 데이터 유출 사건으로 3370만 명의 고객 정보가 노출된 것으로 확인됐다. 경찰은 중국 국적의 전 직원을 용의자로 지목하고 IP 주소를 통해 추적 중이며, 정부는 최대 1조 원의 벌금을 검토하고 있다. 이 사건은 6월부터 시작된 것으로, 5개월간 탐지되지 않았다.
쿠팡은 지난 6월 24일부터 해외 서버를 통해 무단 접근이 발생해 고객들의 이름, 전화번호, 이메일 주소, 배송 주소 등의 정보가 유출됐다고 11월 30일 확인했다. 초기에는 4500명 규모로 보고됐으나, 실제 피해자는 3370만 명에 달해 한국 역사상 최대 데이터 유출 사건이 됐다. 결제 정보와 로그인 자격 증명은 영향을 받지 않았다고 회사 측은 밝혔다.
경찰은 서울지방경찰청을 통해 서버 로그를 분석 중이며, 용의자의 IP 주소를 확보해 추적하고 있다. 용의자는 쿠팡의 중국 국적 전 직원으로, 퇴사 후 한국을 떠난 것으로 알려졌다. "서버 로그를 분석 중이며, 범죄에 사용된 IP를 확보해 추적하고 있다"고 서울경찰청 관계자가 말했다. 경찰은 이 인물이 유출 사실을 폭로하겠다는 이메일을 보낸 인물인지도 확인 중이다. 수사는 지난달 내부 조사로 시작됐으며, 지난주 쿠팡의 고소로 공식화됐다.
개인정보 보호위원회(PIPC)는 접근 제어, 권한 관리, 데이터 암호화 등의 의무를 위반했는지 조사 중이다. 개인정보 보호법에 따라 매출의 3%에 달하는 최대 1조 원(약 7억 7000만 달러)의 벌금이 부과될 수 있으며, 쿠팡의 올해 3분기까지 국내 매출 31.226조 원을 기준으로 산정된다. 이는 SK텔레콤의 2320만 명 유출 사건(1.348조 원 벌금)을 넘어설 전망이다.
쿠팡 CEO 박대준은 "6월 24일 시작된 사건에 깊은 유감을 표하며, 공공에 큰 불편을 드려 진심으로 사과드린다"고 밝혔다. 회사는 데이터 보호 시스템 강화와 당국 협력을 약속했다. 정부는 음성·문자 피싱 등의 2차 피해 예방을 위해 관련 부처와 협력 중이며, 아직 관련 신고는 접수되지 않았다. 과거 쿠팡도 내부 오류로 여러 차례 정보 유출을 겪었으나, 총 벌금은 16억 원에 불과했다. 시민단체들은 집단 소송과 징벌적 손해배상 제도를 강화할 것을 촉구하고 있다.
