쿠팡으로부터 3천3백만 건 이상의 고객 데이터를 탈취한 것으로 알려진 중국인 용의자가 쿠팡 측에 민감한 사생활 정보가 담긴 이메일을 보내 협박한 사실이 밝혀져 파문이 일고 있다. 특히 유출된 정보에는 성인용품 구매 이력과 같은 극히 민감한 개인 정보가 포함된 것으로 드러나 단순한 정보 유출 이상의 사생활 침해 우려가 제기되고 있다.

더불어민주당 김우영 의원이 30일 열린 쿠팡 연석청문회에서 공개한 자료에 따르면, 자칭 "데이터 보안 내부고발자"라고 주장하는 용의자는 지난달 25일 쿠팡 측에 "유출 경보: 쿠팡 이용자들의 개인정보가 극도로 유출 위험에 처했음"이라는 제목의 메일을 발송했다. 이는 쿠팡이 개인정보 유출 사실을 대외적으로 공표하기 나흘 전이다.

해당 메일에는 한국과 일본, 대만 이용자들의 데이터가 광범위하게 포함되었다는 주장이 담겼다. 용의자가 밝힌 한국 내 수집 데이터 규모는 배송 주소 1억 2천만 건 이상, 주문 데이터 5억 6천만 건 이상, 이메일 주소 3천3백만 건 이상에 달한다. 용의자는 시스템의 취약점을 찾는 것이 어렵지 않았으며, 현재도 데이터를 실시간으로 수집하고 있어 그 규모가 계속 늘어나는 중이라고 덧붙였다.

사안의 심각성을 더하는 지점은 용의자가 증거로 제시한 샘플 데이터의 내용이다. 용의자는 266개 지역에서 선별한 266명의 샘플 데이터를 첨부했는데, 여기에는 이용자의 이메일 주소와 배송지, 성명뿐만 아니라 성인용품 구매 내역이 상세히 기록되어 있었다. 특정 이용자가 서울과 부산 등지에서 주문한 성인용품 목록이 적나라하게 드러나면서, 유출된 데이터가 악용될 경우 이용자들이 입을 정신적 피해는 가늠하기 어려운 수준이다.

또한 용의자는 쿠팡 공식 도메인을 사용하는 직원 2천959명의 이메일 주소를 확보해 이미 보안 관련 경고 메일을 보냈다고 주장했다. 이는 쿠팡의 보안 침해 사실이 공식화되기 전부터 내부 직원들 사이에서 보안 경고가 유포되었을 가능성을 시사한다. 대규모 정보 유출이 진행되는 동안 쿠팡의 내부 보안 관제 시스템이 제 역할을 수행하지 못했다는 비판이 나오는 이유다.

보안 전문가들은 용의자가 "내부고발자"나 "정보 익명화"라는 용어를 사용한 것에 대해 전형적인 해커의 기만전술이라고 분석하고 있다. 금전적 대가를 요구하거나 자신의 범죄 행위를 정당화하기 위한 수단일 뿐, 진정한 보안 개선 의도가 있었다면 해킹 경로와 보안 취약점에 대한 기술적 설명을 우선시했을 것이라는 지적이다.

청문회에서 김우영 의원은 성인용품 구매 이력과 같은 민감 정보가 유출되었음에도 불구하고, 쿠팡 경영진이 이전 청문회에서 민감 정보 유출은 없었다고 강변한 점을 강하게 비판했다. 사실상 이용자들을 기만한 것이 아니냐는 지적과 함께, 유출 규모와 내용을 축소 발표하려 했던 정황에 대해 철저한 조사가 필요하다고 강조했다.

현재 국회에서는 이번 사태를 엄중하게 인식하고 청문회 결과에 따라 국정조사 실시 여부를 검토하고 있다. 이용자들은 쿠팡의 반복되는 보안 사고와 불투명한 대응 방식에 강력한 불만을 표출하고 있으며, 단순한 사과를 넘어선 실질적인 보상과 근본적인 재발 방지 대책 마련을 요구하고 있다.

쿠팡은 국내 최대 규모의 물류 및 유통 플랫폼으로서 막대한 양의 개인 정보를 보유하고 있는 만큼, 이번 사건을 계기로 기업의 사회적 책임과 데이터 보안 수준에 대한 전면적인 재검토가 불가피할 전망이다. 향후 수사 기관의 조사 결과와 국회의 대응 방향에 따라 쿠팡의 대외 신인도와 경영 전략에도 상당한 타격이 예상된다.