쿠팡이 지난 25일 발표한 대규모 고객 정보 유출 사태에 대한 해명이 오히려 논란을 키우고 있다.

쿠팡은 신속한 범인 검거와 기기 회수를 강조하며 '피해 최소화'를 주장했지만, '총체적 관리 부실'이 이번 사태의 본질이라며 강도 높게 비판하고 나섰다.

# 저장 안 했으니 괜찮다?…안이한 인식 도마 위

26일 관련 업계에 따르면, 쿠팡은 입장문을 통해 유출자가 3,300만 개 계정 정보에 접근했으나, 실제 기기에 저장한 것은 3,000여 개에 불과하다고 밝혔다.

범인이 데이터를 외부로 전송하지 않았고, 저장된 기기(노트북)도 하천에서 전량 회수했으니 대규모 유출은 막았다는 논리다.

그러나 보안 전문가들의 시각은 냉랭하다. 이는 '불행 중 다행'이 아니라, 쿠팡의 보안 시스템이 사실상 붕괴했음을 자인한 꼴이라는 지적이다.

현행 정보통신망법상 권한 없는 자가 정보에 접근할 수 있는 상태가 된 것 자체가 명백한 '유출'에 해당하기 때문이다.

보안업계 한 관계자는 "서버에 접근해 3,300만 명의 데이터를 들여다볼 수 있는 권한이 뚫렸다면, 그 자체로 이미 심각한 사고"라며 "범인이 데이터를 다운로드(저장)하지 않았다고 해서 개인정보가 안전했다고 주장하는 것은 전형적인 '눈 가리고 아웅' 식 해명"이라고 꼬집었다.

# 퇴사자가 쥔 '만능열쇠'…구멍 뚫린 권한 관리

이번 사태의 핵심 원인이 해킹이 아닌 '인재'였다는 점도 충격을 주고 있다.

범인은 고도화된 해킹 기술을 사용한 외부 공격자가 아니라, 재직 당시 취득한 '내부 보안 키(Access Key)'를 이용한 전직 직원이었다.

이는 기업 정보보호의 기본 원칙인 '접근 권한 관리(IAM)'와 '퇴사자 계정 즉시 회수' 프로세스가 전혀 작동하지 않았음을 방증한다.

글로벌 빅테크 기업을 표방하는 쿠팡이 정작 내부 직원의 권한 통제에는 소홀했다는 비판을 피하기 어려운 대목이다.

업계 한 관계자는 "직원이 퇴사하면 즉시 모든 접근 권한을 파기해야 하는데, 퇴사자가 회사 내부 데이터에 접근할 수 있는 키를 가지고 나갔다는 것은 보안 구멍이 숭숭 뚫려 있었다는 증거"라며 "개인정보보호위원회 등 당국의 고강도 제재가 불가피할 것"이라고 전망했다.

# "우리 집 현관 비번이 떠돈다"…실질적 위협 현실화

쿠팡은 결제 정보나 주민등록번호 등 민감 정보는 유출되지 않았다고 강조했지만, 고객들의 불안감은 가라앉지 않고 있다.

유출된 것으로 확인된 3,000여 건의 정보 중에 고객의 실명, 주소뿐만 아니라 무려 2,609가구의 '공동현관 출입번호'가 포함됐기 때문이다.

주소와 현관 비밀번호가 결합된 데이터의 유출은 단순한 스팸 문자 수준의 피해를 넘어, 스토킹이나 주거 침입 등 물리적 범죄로 이어질 수 있는 심각한 위협이다.

시민단체 한 관계자는 "금융 정보가 포함되지 않았다고 해서 경미한 사고로 치부해선 안 된다"며 "고객의 물리적 안전이 위협받게 된 상황인 만큼, 피해 고객들에 대한 실질적인 보호 조치와 즉각적인 보상안이 마련되어야 한다"고 목소리를 높였다.

한편, 경찰은 쿠팡 측이 회수한 기기를 토대로 수사를 진행 중이며, 텔레그램 등 보안 메신저나 다크웹을 통한 데이터의 추가 유포 가능성에 대해서도 수사력을 집중하고 있다.