서울 송파구 쿠팡 

경찰이 3370만여명의 개인정보가 유출된 쿠팡에 대해 9일 강제수사에 나섰다. 사상 최대 규모의 정보 유출 사태에 경찰이 칼을 빼든 가운데 피해자들 사이에선 “터질 게 터졌다”는 반응이 나온다. 이미 1년 전부터 개인정보 도용에 의한 2차 피해 정황이 있었음에도, 쿠팡과 수사당국의 대응이 안일했다는 지적이다.

서울경찰청 사이버수사과는 이 사건을 전담하고 있는 사이버수사과장 등 17명을 투입해 서울 송파구에 있는 쿠팡의 한국 본사 사무실을 압수수색했다. 경찰은 개인정보 유출 경로와 보안 관련 내부 자료를 확보하는 데 주력하고 있다. 경찰 관계자는 “확보해야 할 자료가 방대해 압수수색이 하루 이상 걸릴 가능성도 있다”고 설명했다.

이번 수사는 지난달 18일 쿠팡 측이 개인정보 유출 피해를 인지해 경찰에 신고하면서 시작됐다. 당초 쿠팡이 밝힌 피해 규모는 4500여명 수준이었으나 유출된 계정이 탈퇴회원까지 포함해 약 3370만개로 불어나며 사태가 커졌다.

앞서 경찰은 쿠팡으로부터 임의제출 받은 서버 로그기록 등을 분석해 왔다. 쿠팡 측이 중국 국적의 전직 직원을 피의자로 지목한 가운데 경찰은 이번 정보 유출 사태 피의자의 신원을 특정한 것으로 확인됐다. 아울러 쿠팡의 내부 고객정보 관리 시스템의 허점이나 보안상 취약성은 없는지도 살펴보고 있다.

쿠팡과 경찰은 현재까지 유출된 정보가 2차 피해로 이어진 사례는 확인되지 않았다고 보고 있다. 쿠팡 측은 피싱이나 주거침입 등 범죄에 악용된 피해는 없었다고 밝혔다. 경찰 역시 신고 시스템을 통해 접수된 2차 피해 의심 사례를 점검했지만, 현재까지 구체적인 악용 정황은 발견하지 못했다고 설명했다.

그러나 서울신문 취재를 종합하면 이미 지난해부터 쿠팡의 허술한 본인 확인 절차를 악용한 도용 피해가 있었던 것으로 드러났다.

인천에 사는 쿠팡 이용자 이훈준(54)씨는 지난해 7월 7일 새벽, 쿠팡에서 177만원짜리 아이패드가 결제됐다는 알림을 받았다. 이씨의 쿠팡 계정을 탈취한 범인이 이씨가 쿠팡에 입력해 놓은 개인정보와 카드정보를 활용해 새 계정을 만든 것이다.

이씨가 즉각 결제를 취소해 금전 피해는 막았지만, 쿠팡 측의 사후 대응은 황당했다. 쿠팡 측은 피해 경위를 묻는 이씨에게 “다른 회원의 개인정보라 알려줄 수 없다”고 했다. 피해자인 이씨보다 명의를 도용한 범인의 개인정보 보호를 앞세운 것이다.

이씨는 “내 카드로 물건을 샀는데 누가 샀는지, 무엇을 샀는지조차 처음에는 알려주지 않았다”며 “직접 증거를 수집해 경찰에 제출했지만 범인을 찾진 못했다.

사건을 접수한 경찰은 “용의자가 미국에 있는 것으로 보이지만 더 추적이 어렵다”며 사건을 종결했다.

전문가들은 이번 수사가 정보 유출자를 검거하는 것을 넘어 기업의 보안 불감증을 점검하는 계기가 돼야 한다고 말했다.

개인정보전문가협회장인 최경진 가천대학교 법학과 교수는 “과거 이메일 유출은 스팸 메일 정도의 피해였지만 전화번호와 같은 중요한 개인정보 유출은 다양한 2차 피해로 이어질 가능성이 높다”면서 “보안과 개인정보 보호가 기업 경영의 선택이 아닌 ‘기본값’이 돼야만 대형 사고를 막을 수 있다”고 강조했다.

경찰 관계자는 “확보된 디지털 증거를 분석해 유출 경위뿐만 아니라 2차 피해 여부까지 면밀히 들여다볼 계획”이라며 “국민적 불안감이 큰 만큼 모든 가능성을 열어두고 수사하겠다”고 말했다.