최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. 연합뉴스


쿠팡 전 직원이 개인정보 3367만여건을 유출했을 뿐만 아니라 배송지 목록도 1억5천만회 가까이 조회한 것으로 드러났다. 이 유출 사건으로 인한 2차 피해는 확인되지 않았으나 개인정보 악용 가능성을 배제할 수 없다. 약 3천개 계정의 고객 정보만 유출됐다는 쿠팡의 발표가 터무니없는 주장이었음이 확인된 것이다. 쿠팡은 더 이상 미국 정치권에까지 로비하며 사건을 축소·왜곡하려는 시도를 중단해야 할 오션파라다이스게임 것이다.
쿠팡 침해사고 민관합동조사단은 10일 조사 결과 브리핑에서 2025년 4월부터 7개월간 쿠팡의 ‘내 정보 수정 페이지’에서 이름·이메일이 포함된 가입자 정보 3367만여건이 유출됐다고 밝혔다. 또 ‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 비식별화된 공동현관 비밀번호가 포함된 개인정보가 1억4806만회 조회됐다. 게임몰 이 정보에는 물품을 대신 구매해 배송한 가족·친구 등의 제3자 정보도 포함돼 있었다. 2차 범죄에 악용될 우려가 컸던 공동현관 비밀번호는 5만474차례, 최근 주문한 상품 목록은 10만2682차례 조회됐다. 다만, 실제 2차 피해로 이어졌는지는 확인되지 않았다. 유출자는 재직 당시 이용자 인증 시스템의 서명키를 탈취해 지난해 1월부터 로그인에 필수적인 전 메이저릴게임사이트 자출입증을 위·변조하고, 이를 통해 인증 절차를 우회했다.
쿠팡은 지난해 12월 사건 발생 직후 “(유출자가) 고객 계정 3300만개의 기본적인 고객 정보에 접근했으나 이 중 약 3천개 계정의 고객 정보만 저장했다”며 유출은 약 3천건이라는 주장을 펴왔다. 현행 표준개인정보보호지침을 보면, ‘개인정보 유출’은 개인정보가 해당 개인정보사업자 바다신릴게임 (기업)의 관리·통제권에서 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 뜻한다. 에스케이텔레콤 등의 개인정보 유출 사건에서도 모두 이 기준이 적용됐다. 그런데 쿠팡은 한국 정부의 기준이 아닌 자체 기준을 내세우며 억지 주장을 펴온 셈이다.
쿠팡은 미국 상장사이지만 주사업은 한국에서 하므로 한국 법과 제도, 관행을 따르는 릴게임골드몽 게 옳다. 유사한 개인정보 유출 사고를 일으킨 한국 기업들은 정부 조사에 협조하고 적절한 피해보상과 재발방지책을 내놓은 뒤 현재 정상적으로 사업을 하고 있다. 그런데 쿠팡은 황당하게도 한국 정부의 기준을 무시할 뿐만 아니라, 미국 정치권에 로비해 한-미 간 통상 문제로까지 비화시키려 하고 있다. 당장 그런 시도를 그만둬야 한다. 한국 소비자들이 그렇게 호락호락 넘어가지 않을 것이다.