[비즈니스포스트] 말 많은 쿠팡 개인정보 유출 사건에 대한 과학기술정보통신부 민관합동조사단 조사 결과가 지난 10일 발표됐다.

일단 개인정보 유출 규모가 역대급이다. 유출된 개인정보 범위도 남다르다. 이용자가 거주하는 아파트 등의 공동현관 비밀번호가 포함된 게 눈에 띈다.

민관합동조사단의 쿠팡 조사 결과 보도자료를 정독하는데, 기시감이 느껴진다. 지난해 각각 발표된 SK텔레콤과 KT의 통신망 해킹 및 개인정보 유출 사건에 대한 민관합동조사단 조사 결과와 상당 부분 겹친다. 개인정보 유출 규모와 범위 만 갈아끼운 것 같은 대목도 많이 보인다. 

특히 보안을 소홀히 하다 당했고, 늑장 신고를 해 3천만 원 이하의 과태료를 물게 됐다. 자료보전 명령을 어기고 서버(컴퓨터)나 접속기록 등을 임의 삭제한 것으로 드러나 수사 의뢰된 부분은 판박이처럼 같다. 보안에 소홀했던 것을 반성하고 피해자 보상에 앞장서는 모습을 보이지 않는 것도 역시 같다.

문득 작년부터 떠들썩했던 쿠팡·SK텔레콤·KT의 해킹 및 개인정보 유출 사건에 대한 민관합동조사단 조사 결과를 겹쳐보면 어떤 그림이 나올까 궁금해졌다. 무엇이 같고, 무엇이 다를까. 참고로 SK텔레콤과 KT는 이동통신, 쿠팡은 온라인 커머스 플랫폼 사업자다.

각 조사 결과 보도자료를 프린트해 펼쳤다.

개인정보 유출 규모와 범위에선 쿠팡이 압도적이다. 앞서 '사상 최악 개인정보 유출 사태'로 꼽히던 SK텔레콤 가입자 개인정보 유출 규모(2696만 건)를 크게 웃돈다.

개인정보 유출 규모는 애초 정부가 추정했던 3300만 건보다 많은 3367만 건에 달했다. '내 정보 수정 페이지'에 있는 이용자 이름과 이메일 등이 유출됐다.

쿠팡이 추가로 유출 사실을 털어놓은 16만5천여 계정 유출 건은 빠진 숫자다. 
  
또 '배송지 목록 페이지'에 담긴 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 1억4800만여 차례 조회됐다. 여기서 조회란 열람을 했다는 것으로, 개인정보보호법은 이를 유출로 간주한다.

아파트 등의 공동 현관 비밀번호 유출은 2차 범죄 악용 우려를 낳는다. 이들 정보는 '배송지 목록 수정 페이지'에서도 5만여 회나 조회됐다. 이와 별도로 '주문 목록 페이지'에서는 최근 주문 상품 목록이 10만여 회 조회됐다.

과기정통부는 "유출된 정보에는 쿠팡 계정 소유자 본인 외에 물품을 대신 구매해 배송한 가족과 친구 등의 이름, 전화번호, 배송지 주소 등 제3자 정보도 다수 포함돼 있어, 정보 유출 피해자 범위가 확대될 가능성이 있다"고 설명했다.

과기정통부는 이어 "웹 접속 기록 등을 기반으로 유출 규모를 산정했다"며 "정확한 개인정보 유출 규모는 개인정보보호위원회가 추가 조사를 거쳐 확정해 발표할 것"이라고 했다.

해킹 피해 규모는 KT가 가장 컸다. 통신망 서버 94대가 103종의 악성코드에 감염됐다. 그만큼 뚫렸다는 얘기다.

통신망에 '유령(불법) 기지국'이 침투했고, 이를 통해 368명이 2억4300만 원 규모의 무단 소액결제 피해를 입었다. KT 가입자 개인정보 유출 규모는 2만2227 건이다.

SK텔레콤은 서버 28대가 33종의 악성코드에 감염됐다. 가입자 개인정보 유출 규모는 2696만 건이다. 쿠팡 이용자 개인정보 유출 규모보다는 적지만, 이동통신 가입자 개인정보 유출 규모로는 역대 최대다. 단말기 복제 등 2차 피해를 일으킬 수 있는 유심(가입자식별) 정보 등이 포함됐다.

공통점도 많다.

먼저 모두 보안을 소홀히 하다가 당했다.

과기정통부는 쿠팡에 대한 민간합동조사단 조사 결과를 발표하면서 "분명한 관리의 문제다. 지능화된 공격으로 보기 어렵다"고 설명했다. 

쿠팡은 위·변조 '전자 출입증' 검증 체계를 제대로 갖추지 않았다. 위·변조된 출입증으로 사내 전산시스템에 몰래 침투해 개인정보를 유출시키는 행위를 차단하거나 탐지하지 못했다. 모의 해킹을 통해 파악된 보안 취약점 개선도 제대로 하지 않았다.

이용자 인증 관련 시스템 개발자가 퇴사한 뒤에도 서명 키를 갱신하지 않았다. 퇴사 이후에도 서명 키를 사용해 몰래 드나들 수 있었다는 얘기다.

SK텔레콤은 계정정보를 부실하게 관리했고, 과거 침해사고에 제대로 대응하지 않았다. 재발 방지 노력을 게을리했다는 뜻이다. 주요 정보에 대한 암호화 조치도 미흡했다. 

KT는 소형 기지국(펨토셀)을 부실하게 관리했다. 종단 간 암호화 조치 규정을 이행하지 않았고, 정보보호 노력도 미흡했다.

한결같이 사고 발생 뒤에는 축소·은폐하기에 급급했다.

세 업체 모두 늑장 신고를 했다. 또 자료 보전 명령을 어기고 서버를 폐기하거나 접속기록 등을 지우고, 조사 과정에서 허위 자료를 제출하기도 했다. 특히 쿠팡은 개인정보 '유출'이 아닌 '노출'이라고 억지를 부렸다. 쿠팡은 "자체 조사 결과, 3천여 건밖에 유출되지 않은 것으로 집계됐다"고 주장하기도 했다.

SK텔레콤과 KT는 해킹당한 사실을 확인하고도 신고하지 않고 은폐한 사실도 드러났다. 이는 또다른 이동통신 사업자 LG유플러스도 마찬가지였다.
  이들에게 과연 소비자, 국민을 대상으로 하는 사업자 자격이 있는지 의심하게 만든다. 

급기야 개인정보보호위원회는 SK텔레콤에 1379억원의 과징금을 물렸다. 개인정보 유출 과징금으로는 역대 최대 규모다.

보안을 소홀히하다 가입자 개인정보를 대량 유출한 것에 대한 반성과 재발 방지 노력을 촉구하기에는 부족한 '솜방망이 처분'이란 지적이 많았지만, SK텔레콤은 불복해 행정소송을 제기했다.

쿠팡과 KT 과징금은 얼마나 될까.

쿠팡의 경우, 매출 크기와 개인정보 유출 규모로 볼 때 최소 1조원을 넘을 것이란 전망까지 나온다. 현실화하면 개인정보 유출 최대 과징금 업체가 SK텔레콤에서 쿠팡으로 바뀐다.

과징금 산정과 관련해선, 쿠팡은 개인정보 유출 규모에서 역대급이고, KT는 무단 소액결제를 통해 금전적 피해가 발생했다는 게 포인트다.

수사 의뢰된 것에 대한 경찰 조사 과정에서 이들이 어떤 행동을 했는지가 더 드러나고, 정부가 영업정지 같은 행정처분에 나설 지도 관심사다.

앞서 류제명 과기정통부 차관(당시는 네트워크정책실장)은 지난해 7월 SK텔레콤 해킹 및 개인정보 유출 사건에 대한 민관합동조사단의 조사결과를 발표하며 행정처분(영업정지와 허가 취소 등) 여부와 수위를 묻는 질문에 "수사의뢰 건에 대한 경찰 조사가 나오면, 반영해서 행정처분 여부와 수위를 결정할 방침"이라고 말했다.

피해 배상과 소비자 신뢰 회복에 적극적으로 나서지 않는 등 사고 이후 이들의 대응 태도도 도마에 올랐다.

한결같이 '시늉' 내지 '피해자를 조롱한다'고 지적받는 수준의 보상책을 내놓으면서 오히려 이들은 생색을 냈다. 

쿠팡은 미국 정치권 로비를 통해 사상 최악 개인정보 유출 사고를 내고도 적반하장으로 나오는 것에 칼을 빼든 우리나라 정부를 압박하기까지 하고 있다. 쿠팡 창업자 겸 실질적 최고경영자로 꼽히는 김범석 쿠팡아이엔씨 이사회 의장은 미국 시민권 뒤에 숨어 모습조차 드러내지 않고 있다. 당연히 공식 사과도 하지 않았다.

성의 있는 피해 보상을 기대하기 어렵다는 하소연이 나온다.

쿠팡 이용자들과 이동통신 3사 가입자들은 가슴을 친다.

쿠팡 이용자들은 머리로는 '탈팡(쿠팡 탈퇴) 운동에 동참해 소비자 무서운 줄 알게 해야 한다'고 생각하면서도, 실제로는 쿠팡 서비스에 길들여져 행동에 옮기지 못하는 스스로에게 자괴감을 느낀다고 호소한다.

이동통신 3사 가입자들은 SK텔레콤에 이어 KT와 LG유플러스도 해킹을 당하고 개인정보를 유출한 것으로 드러난 상황이라 이동통신 서비스를 아예 이용하지 않는 한 불안해도 도망 갈 곳이 없다.

사업자들의 뻔뻔한 행태로 이용자 정보인권이 땅바닥에 떨어지고, '호갱'(호구 고객) 취급을 당해도 이동통신 3사 가입자로 계속 남아있어야 한다.

담답하지만 어쩔 수가 없다. 김재섭 선임기자