![지난달 16일 쿠팡 개인정보 유출 최초 신고자인 고객 박모(28)씨가 받은 협박성 이메일과 이후 쿠팡 고객센터에 신고한 내용. [사진 신고자 박씨]](https://www.koreadaily.com/data/photo/2025/12/04/0c73615a-b944-4376-a3ca-17119b4bbc4f.jpg)
지난달 16일 ‘귀하의 개인정보가 유출될 수 있다’는 이메일을 받고 쿠팡에 처음 신고한 박모(28)씨는 당시 상황을 이렇게 전했다. 쿠팡 측은 박씨의 신고 뒤 고객 정보 유출 정황을 처음 인지한 것으로 보인다.
중앙일보가 입수한 이메일에 따르면 쿠팡이 한국인터넷진흥원(KISA)이 제출한 침해사실 신고서, 고객 문자 공지 등과 달리 유출 정보에 ‘현관 출입 방법’이 포함된 것으로 나타났다. 앞서 쿠팡은 지난달 30일까지 유출 피해 고객 대상 문자 공지에서 “현재까지 노출된 정보는 고객님의 이름, 이메일 주소, 배송지 주소록(입력하신 이름, 전화번호, 주소) 그리고 주문 정보”라고만 밝혔었다.
“어떻게 해야 할지 몰라, 멘털 부서져”
우선 이메일 제목은 박씨의 이름·주소와 함께 ‘귀하의 개인정보가 유출될 수 있습니다’이다. 발신자는 ‘Yui Sato’이고, 이메일 주소는 ‘[email protected]’이다. 본문은 영어로 “당신의 쿠팡 개인 정보가 유출될 위험에 처해있다(your personal data on coupang.com is under risk of potential disclosure)”고 시작한다.
이어 이메일은 박씨가 5년 전부터 설정한 5개의 배송지 주소별로 ‘문앞, 문앞(자유출입가능)’ 등과 같이 현관 출입 방법을 그대로 노출했다. 가장 최근 주소지 뒤엔 ‘기타사항(앞에 테이블에 택배 놓는 곳)’이라고 적혔다. 최근 변경 사항까지 유출된 정황으로 보인다.
쿠팡이 피해 사실을 축소한 것으로 보이는 점은 또 있다. 쿠팡은 지난달 18일 오후 10시52분 KISA에 제출한 침해사실 신고서에서 “각 계정 프로필에 대한 액세스 기록에 최근 5건의 주문 이력 및 고객의 배송 주소록(이름, 전화번호, 배송 주소)이 포함됐다”고 보고했다.
한데 이메일에 유출된 ‘주문 목록(Recent orders)’에는 최근 구매 물품 순으로 15개까지 나온다. 쿠팡이 KISA에 유출됐다고 신고한 주문 목록의 3배다. 이를테면 박씨가 가장 최근에 쿠팡에서 주문한 ‘개꿀맛 10종 포카칩·꼬북칩 등 과자세트 1개’란 상품명을 포함해 주문 날짜·가격·수량 등 대부분의 주문 정보가 담겼다.
지난달 16일 오후 8시30분 이메일을 확인한 박씨는 오후 10시쯤 쿠팡 고객센터를 통해 상담사에게 알렸다. 박씨는 “이걸 어떻게 해야 할지 몰라서 1시간30분 동안 멍을 때렸다”면서 “쿠팡에 알려야 하는 건지, 아니면 경찰에 알려야 하는지 혼란스러웠다”고 말했다. 이어 “일단 소름이 돋으니까, 약간 멘털이 부서지더라”고 말했다.
박씨는 쿠팡 측에 신고 뒤 “취약점이 있다면 제 정보가 어느 수준으로 유출됐는지도 알려주시면 감사하겠다”고 말했다. 다음 날인 17일 쿠팡은 “약 4500명의 개인정보가 유출된 것 같다”고만 알려왔다. 후속 조치 등 추가 연락은 없었다고 한다.
이후 쿠팡의 늑장 대응도 문제로 지적된다. 정보통신망법상 신고 기한인 24시간을 거의 다 채워 KISA에 신고했다. 그러면서 고객들에겐 최초 신고 2주일 뒤(30일)에야 문자 통지를 했다.
개발자로 일하고 있는 박씨는 “이전부터 보안 문제에 관심이 많아 협박 메일을 발견할 수 있었다”며 “협박 메일을 저뿐 아니라 다수가 받았을 텐데 못 보고 넘겼을지도 모르겠다”고 말했다.
개보위 “노출 아닌 유출 재통지” 권고
이와 관련해 개인정보보호위원회는 3일 긴급 전체회의를 열고 쿠팡에 기존 개인정보 ‘노출’ 통지를 ‘유출’로 정정하고, 아파트 공동현관 비밀번호 등 빠뜨렸던 유출 항목 내용도 보강해 이용자들에게 재통지하라고 권고했다. 쿠팡 계정 및 공동현관 비밀번호 변경 등 2차 피해 예방 내용도 담도록 했다.
개인정보위는 3가지 권고 사항에 대한 이행 조치 결과를 쿠팡에 7일 안에 제출해 달라고 했다. 하지만 ‘권고’ 사항이다 보니 쿠팡이 따르지 않아도 제재할 수는 없다. 직접적 집행력이나 강제력이 없어서다. 민관합동조사단의 조사를 통해 위법사실이 확정된 뒤에야 법적 구속력을 지닌 구체적인 시정 명령이 이뤄질 수 있다.
문상혁.김민욱([email protected])