"해킹 아니었다" 쿠팡 3,370만 정보 유출의 충격 반전… 범인은 이미 중국행?

대한민국 성인 4명 중 3명의 개인정보가 고스란히 유출됐다.

국내 이커머스 1위 기업 쿠팡에서 발생한 사상 초유의 정보 유출 사태다. 피해 규모만 약 3,370만 건. 사실상 쿠팡의 전 회원이 발가벗겨진 셈이다. 그러나 이번 사건의 진짜 충격은 유출의 규모가 아니다.

철옹성 같았던 보안 시스템을 뚫은 주범이 외부 해커가 아닌, 내부에서 근무하던 '중국인 직원'이었다는 점이다. 게다가 해당 직원은 이미 한국을 떠난 것으로 확인돼 수사에 비상이 걸렸다.

5개월간 뚫린 보안망, "외부 침입 흔적 없다"던 쿠팡의 굴욕

사건의 전말은 충격적이다. 쿠팡 측은 지난 20일 입장문을 통해 "외부 침입 흔적은 없다"고 선을 그었지만, 이는 곧 내부 통제 실패를 자인하는 꼴이 됐다.

취재 결과, 이번 유출은 무려 5개월 전인 지난 6월 24일부터 시작된 것으로 파악됐다. 반년 가까운 시간 동안 고객의 이름, 전화번호, 주소, 주문 정보가 야금야금 빠져나가는 동안 쿠팡의 보안 시스템은 '깜깜이'였다.

과거 SK텔레콤이나 KT, 싸이월드 사태가 외부 해킹에 의한 방어 실패였다면, 이번 쿠팡 사태는 '열려 있는 문'으로 도둑이 제 발로 걸어 들어와 물건을 훔쳐 간 형국이다.

경찰청 사이버수사대는 지난 25일 쿠팡으로부터 고소장을 접수하고 수사에 착수했지만, 핵심 피의자인 중국 국적의 전 직원은 퇴사 후 이미 출국한 상태다. 범죄 현장은 남았지만, 범인은 사라진 미궁 속으로 사건이 빠져들고 있다.

'매출 3% 룰' 적용 시 과징금 1조... 기업 존폐 흔드나

법조계에서는 이번 사태가 단순한 보안 사고를 넘어 쿠팡에게 천문학적인 금전적 타격을 입힐 것으로 보고 있다. 쟁점은 '개인정보 보호법 위반'에 따른 행정 제재 수위다.

현행 개인정보 보호법(제39조의15)에 따르면, 기업이 안전조치 의무를 위반해 정보가 유출된 경우 관련 매출액의 3% 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 쿠팡의 지난해 매출이 약 35조 원임을 감안할 때, 산술적으로 최대 1조 500억 원에 달하는 '조 단위' 과징금 폭탄이 가능하다는 계산이 나온다.

과거 SK텔레콤이 개인정보 유출로 역대 최대인 1,348억 원의 과징금을 부과받은 바 있지만, 이번 쿠팡 사태는 유출 규모와 기간, 내부 통제 부실의 정도가 훨씬 심각하다는 평가다.

특히 내부 직원이 5개월간 정보를 빼돌리는 것을 방치했다는 점은 법적으로 '중대한 과실'로 해석될 여지가 다분하다. 여기에 피해 고객들이 집단 소송을 제기할 경우, 법원이 손해액의 최대 5배까지 배상하도록 하는 '징벌적 손해배상제도'까지 적용될 수 있어 쿠팡이 감당해야 할 비용은 상상을 초월할 것으로 보인다.

범인은 중국에 있는데... '국제 공조'의 높은 벽

가장 큰 문제는 범죄를 저지른 중국인 직원에 대한 처벌 가능성이다. 법리적으로는 외국인이 한국 내에서 범죄를 저질렀기에 대한민국 형법(속지주의)이 적용된다. 해당 직원은 개인정보 보호법 제59조(업무상 알게 된 개인정보 누설) 위반으로 5년 이하의 징역형 대상이다.

하지만 현실은 녹록지 않다. 피의자가 중국으로 도피한 상황에서 한국 경찰이 강제 구인할 방법이 마땅치 않기 때문이다.

• 인터폴 적색수배: 가능하지만, 소재 파악이 우선되어야 한다.

• 범죄인 인도 조약: 한중 간 조약이 체결되어 있으나, 중국은 자국민을 타국으로 보내는 것을 극도로 꺼리는 '자국민 불인도 원칙'을 고수하는 경향이 강하다.

• 사법 공조: 중국 공안에 증거 수집이나 수사를 요청할 수 있지만, 절차가 까다롭고 시간이 오래 걸려 '골든타임'을 놓칠 가능성이 매우 높다.

결국, 핵심 증거인 피의자의 PC나 스마트폰 확보는커녕, 소환 조사조차 불투명한 상황이다.

법조계 관계자는 "중국 당국이 전향적으로 협조하지 않는 이상, 기소중지(수사 일시 중단)로 사건이 장기화될 우려가 크다"고 지적했다.

내부 관리의 허점, '보안 불감증'이 부른 참사

이번 사건은 기술적 해킹 방어보다 '사람 관리'인 내부 보안 통제가 얼마나 중요한지를 적나라하게 보여주었다. 접근 권한을 가진 내부자가 마음만 먹으면 3천만 명의 정보를 통째로 들고나갈 수 있었던 시스템의 허술함이 드러난 것이다.

정부는 민관합동조사단을 꾸려 원인 분석에 나섰지만, 이미 엎질러진 물이다. 쿠팡은 "피해를 최소화하겠다"고 밝혔으나, 유출된 정보가 보이스피싱이나 스팸 범죄에 악용될 가능성은 여전히 남아있다.

'로켓배송'으로 쌓아 올린 신뢰가 '내부자 유출'이라는 암초를 만나 침몰 위기에 처했다. 수천만 고객의 불안감을 잠재우기 위해서는 도피한 피의자의 검거와 함께, 납득할 만한 수준의 책임 있는 배상과 재발 방지 대책이 시급해 보인다.

한편, 쿠팡 박대준 대표이사는 30일 공식 사과문을 통해 이번 사태에 대한 입장을 밝혔다. 박 대표는 "올해 6월 24일부터 시작된 사고에 유감을 표한다"며 "유출된 정보는 이름, 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한되었으며, 비밀번호나 결제 정보는 포함되지 않았다"고 해명했다.

이어 "현재 과학기술정보통신부, 경찰청 등 민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하고 있다"며 "기존 데이터 보안 장치와 시스템을 전면 재검토해 고객 정보 보호를 최우선으로 하겠다"고 약속했다.