유출계정 3000개라는 쿠팡, 사실 입증부터 보상까지 ‘산 넘어 산’

쿠팡 “결제·로그인 정보 유출 없다” 발표
증거능력·무단결제 사고 연관성 등 불투명

피해자따라 보상액 줄어…집단소송 카페 80만
‘美 로비 의혹’에 한·미 갈등 불씨 우려도 부담

서울 송파구 쿠팡 본사 인근 신호등에 빨간불이 켜져 있다. 임세준 기자

[헤럴드경제=강승연 기자] 쿠팡이 대규모 개인정보 유출 사태 한 달여 만에 유출된 고객 정보는 3370만개가 아니라 3000개라고 밝혔지만, 소비자들의 불안은 좀처럼 가라앉지 않고 있다. 범행 과정 일체, 쿠팡의 책임 소재 등이 명백히 확인돼야 한다는 지적이다. 집단소송을 추진하는 카페에는 80만명이 몰리며 국민적 분노도 여전한 상황이다.

유출계정 3000개뿐? 결제정보 없었나…여전한 의문들
쿠팡이 지난 25일 밝힌 자체 조사 결과에 따르면, 개인정보 유출 용의자는 재직 중 탈취한 보안 키를 사용해 3370만 고객 계정의 개인정보에 접근했다. 이 가운데 고객 정보를 실제로 저장한 것은 약 3000개 계정으로 확인됐다. 유출된 정보는 이름, 이메일, 주소, 전화번호다. 결제정보, 로그인 관련 정보, 개인통관번호에 대한 접근은 없었다고 쿠팡은 강조했다.

해당 용의자는 단독 범행이며, 빼돌린 3000개의 고객 정보는 개인 데스크톱 PC와 맥북 에어 노트북에 저장했다가 언론 보도 이후 모두 삭제했다고 진술했다. 해당 정보를 외부로 전송한 적도 없다는 입장이다. 쿠팡은 글로벌 최상위 사이버 보안업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 의뢰한 조사 결과도 용의자의 진술 내용과 부합했다고 밝혔다.

쿠팡 측은 “디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다”며 “유출자가 쿠팡 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드 드라이브는 검증된 절차에 따라 모두 회수돼 안전하게 확보됐다”고 설명했다.

그러나 의문점들은 남아있다. 용의자의 단독 범행이 맞는지, 범행 동기는 무엇인지, 개인정보 유출에 사용된 PC·노트북 등의 증거 능력이 유효한지 등이다. 용의자가 퇴사한 이후에도 수개월간 쿠팡 서버에 접속하고 회원 정보에 접근할 수 있었던 만큼 쿠팡 측의 책임도 가려봐야 한다. 경찰은 쿠팡 측으로부터 진술서와 노트북 등 장치를 넘겨받아 자체 조사 결과에 대한 검증에 나선 상태다.

쿠팡 개인정보 유출 이후 다른 이커머스 업체 등에서 발생한 무단 결제 사고와의 연관성도 밝힐 필요가 있다. 앞서 G마켓에선 쿠팡이 대규모 개인정보 유출 사실을 발표한 지난달 29일 고객 60여명이 모바일상품권 무단 결제 피해를 입었다. 이후 KT알파에서도 비슷한 사고가 일어났다.

업계에선 외부에서 불법 수집된 개인정보로 접속·결제하는 ‘크리덴셜 스터핑’ 방식의 도용 범죄로 보고, 쿠팡 사건과의 연결고리를 파악해야 한다고 지적한다. 중국 온라인 쇼핑몰에서 쿠팡 이용자 계정이 거래되고 있다는 의혹도 있다. 다만 쿠팡 관계자는 “자체 조사 결과, 2차 피해는 없었다”고 말했다.

쿠팡 개인정보 유출 현황

보상방안은 어떻게…집단소송 카페 80만명 육박

개인정보 유출에 대한 피해 보상 방안도 관심거리다. 쿠팡은 지난 25일 입장문에서 “이번 사태로 인한 고객보상 방안을 조만간 별도로 발표할 예정”이라고 밝혔다. 쿠팡은 경찰 수사 결과와 무관하게 선제적으로 보상 방안을 발표할 수 있다. 이를 감안해 정부도 보상액, 과징금 규모를 결정할 것으로 보인다.

쿠팡이 실질적인 유출 피해 계정이 3000여개라고 정정한 것은 보상액을 고려한 판단으로 보인다. 피해 규모가 3370만명인 것에 비해 보상액이 0.01% 수준으로 줄어들 수 있어서다. 지난 4월 SK텔레콤 개인정보 유출 사고에 대해 소비자분쟁조정위원회는 최근 1인당 10만원을 보상할 것을 권고했는데, 이를 그대로 적용하면 보상액은 최대 3조3700억원에 이른다. 반면 피해자를 3000명으로 인정받으면 보상 규모는 최소 3억원에 그친다. 1인당 보상액이 높아지면 전체 규모는 더 차이가 난다. 1인당 30만원의 경우, 피해자 규모에 따라 보상액은 최대 10조원, 최소 9억원으로 달라질 수 있다.

소비자들은 역대급 유출 사건이라며 피해 보상을 거세게 요구하고 있다. 26일 오전 9시 기준 네이버에 개설된 쿠팡 집단소송 관련 카페는 60여개, 회원 수는 79만4700여명이다. 이들은 보통 1인당 10만~30만원, 많게는 100만원까지 보상해야 한다고 주장하며 잇달아 소송을 제기 중이다. 미국에서도 쿠팡 주주들이 집단 소송에 나섰다. 특히 미국에선 징벌적 손해배상 청구소송이 추진되고 있어, 재판 결과에 따라 막대한 배상금을 물게될 수도 있다.

과징금도 무시할 수 없다. 현행 개인정보보호법상 대규모 개인정보 유출 사고는 전체 매출액의 최대 3%까지 과징금을 부과할 수 있다. 쿠팡은 지난해 41조원의 매출을 올려, 최대 1조2000억원의 과징금을 내야 할 수도 있다.

해롤드 로저스 쿠팡 대표이사(왼쪽) 등 증인들이 17일 오전 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 청문회에서 선서하고 있다. 이상섭 기자

초대형 범정부TF에 한미 갈등 소지도 부담
정부가 초대형 범부처 TF(태스크포스)를 꾸리고 사태를 깊게 들여다보고 있는 점도 쿠팡 입장에선 부담이다. 관세청은 쿠팡 한미 본사에 대해 세무조사를 진행하는 한편, 특검은 쿠팡 퇴직금 미지급 사건 불기소 외압 의혹을 수사하고 있다. 대통령실에선 ‘쿠팡대책 장관회의’를 긴급 소집할 정도로 사태를 심각하게 인식하고 있다.

설상가상 정부는 쿠팡이 성탄전 휴일인 지난 25일 자체 조사 결과를 기습 발표한 것을 두고도 불쾌함을 드러냈다. 과학기술정보통신부는 쿠팡 발표 직후 “일방적 주장”이라며 “민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 데 대해 쿠팡에 강력히 항의했다”고 밝혔다. 국회는 오는 30~31일 6개 상임위가 참여하는 대규모 연석 청문회를 개최할 계획이다.

이번 사태가 한·미 갈등의 불씨가 될 가능성도 있어 더욱 조심스러운 분위기다. 미국 공화당 일각에선 쿠팡에 대한 한국 정부의 대응이 미국 기업에 대한 차별이라는 비판이 나오고 있다. 도널드 트럼프 1기 행정부에서 백악관 국가안보보좌관을 지낸 로버트 오브라이언은 최근 X(옛 트위터)에서 “한국 국회가 공격적으로 쿠팡을 겨냥하는 것은 한국 공정거래위원회의 추가적인 차별적 조치와 미국 기업들에 대한 더 넓은 규제 장벽을 위한 무대를 만들 것”이라고 주장했다. 이 같은 상황에 쿠팡의 미국 정관계 로비가 작용했다는 의심도 제기된다. 대통령실이 쿠팡 대책 장관회의를 연 것도 이와 무관치 않다는 분석이다.