쿠팡에서 유출된 개인정보 규모가 3400만명, 외부 조회수는 1억5000만회에 이르는 것으로 파악됐다. 쿠팡이 미국 증권거래소에 공시한 3000건과는 엄청난 차이다. 이러고도 쿠팡은 한국 정부가 표적으로 찍어 차별하고 있다고 미국 정·관계에 허위사실을 퍼뜨리고, 구명 로비를 하며 한국에 통상 압력을 가했으니 적반하장이 따로 없다. 경찰은 쿠팡의 개인정보 유출은 물론, 사건 축소·은폐와 허위사실 공표 및 위증 혐의까지 수사해 엄벌해야 한다.

10일 과학기술정보통신부에 따르면 민관 합동조사단이 쿠팡 웹과 앱 접속기록 데이터를 분석한 결과 ‘내정보 수정’ ‘배송지 목록’ ‘주문 목록’ 등의 페이지에서 쿠팡 이용자의 은밀한 개인정보가 대규모로 유출·조회됐다. ‘내정보 수정’ 페이지에선 성명·e메일이 포함된 이용자 정보 3367만여건의 유출이 확인됐다. 사실상 회원 대부분의 정보가 털린 것이다. 특히 ‘배송지 목록’ 페이지에서만 1억4806만회 조회가 이뤄졌다. 이 페이지에는 이용자 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함돼 있다. 이용자가 최근 구입한 상품 내역이 담긴 ‘주문 목록’ 페이지도 10만회 이상 조회됐다. 쿠팡은 정보 유출 사실을 인지하고도 50시간이 지나서야 신고해 ‘24시간 이내 신고’ 규정도 어겼다.

범인은 인증 시스템을 설계한 쿠팡 퇴사자로 확인됐다. 재직 중 관리하던 이용자 인증 시스템의 서명키를 탈취한 뒤 ‘전자 출입증’을 위·변조해 인증 시스템을 뚫었다. 조사단은 쿠팡에 전자 출입증 위·변조 확인 절차가 없었고, 퇴사자 서명키 관리 체계가 미비했다고 밝혔다. 쿠팡은 자체 모의해킹을 통해 전자 출입증 전반의 인증 체계 취약점을 발견했지만, 개선하지 않은 것으로 나타났다. 미 증시에 상장된 첨단 전자상거래 대기업의 보안이 이렇게 취약하리라고는 상상조차 못했다.

이와 별도로 쿠팡이 배달라이더들의 개인정보를 장기간 소홀하게 관리한 정황이 추가됐다. 라이더유니온에 따르면 2020년 8월부터 2021년 11월까지 1년3개월간 음식점 포스(POS) 기기 화면을 통해 쿠팡이츠 배달라이더 13만5000명의 개인정보가 노출됐다. 쿠팡이츠는 ‘안심번호’를 제공한다고 밝혔지만 실제 시스템 프로그램엔 라이더의 실명·휴대전화번호·이동 동선 정보가 포함돼 있었다는 것이다.

외양은 소비자 편익을 중시하는 혁신 기업이지만 내부는 곪을 대로 곪은 쿠팡의 실체를 소비자들이 알게 됐다. 대규모 정보 유출에도 사과와 반성은커녕 미국 뒤에 숨어 책임 회피로 일관하는 쿠팡을 당국은 단죄하고, 소비자들도 불매 등으로 응징해야 한다.

한국 국회에 출석해 답변하고 있는 해롤드 로저스 쿠팡 대표이사. 연합뉴스