쿠팡이 개인정보가 노출된 고객 계정이 3370만개에 달한다고 29일 밝혔다. 지난 18일 약 4500개 계정의 정보가 무단 유출된 사실을 인지했다고 밝힌 지 열흘 남짓 만에 피해 규모가 7500배 이상으로 불어난 셈이다.
쿠팡에 따르면 이번에 노출된 정보에는 이름과 이메일 주소, 배송지 주소록에 입력된 이름과 전화번호, 주소, 일부 주문 정보가 포함됐다. 다만 결제정보, 신용카드 번호, 로그인 비밀번호 등은 노출되지 않았다고 설명했다. 이에 따라 고객이 계정과 관련해 별도의 조치를 취할 필요는 없다고 덧붙였다.
문제는 노출 규모다. 쿠팡 고객 대부분의 계정 정보가 영향을 받은 것으로 보인다. 쿠팡은 전체 회원 수를 공개한 적이 없지만, 지난 3분기 실적 발표를 통해 확인된 프로덕트 커머스 부문 활성 고객 수는 2470만명이다. 2023년 말 기준 유료 멤버십 ‘쿠팡 와우’ 회원 수도 1400만명 수준으로 알려져 있다. 공개된 수치만 놓고 봐도 이번 노출 계정 수는 전체 고객 수를 웃돈다.
쿠팡이 한국인터넷진흥원(KISA)에 제출한 침해 사고 신고서에 따르면, 지난 6일 오후 6시38분 자사 계정 정보에 대한 무단 접근이 발생했으며 이를 12일 후인 18일 오후 10시 52분에서야 인지했다. 쿠팡은 이후 외부 보안 전문가를 투입해 조사를 진행 중이며 경찰청과 KISA, 개인정보보호위원회 등 관계 기관과 협력하고 있다고 밝혔다.
쿠팡 측은 “조사 결과, 해외 서버를 통해 지난 6월 24일부터 무단 접근이 이뤄진 것으로 추정된다”며 “현재 해당 경로는 차단했고 내부 모니터링을 강화했다”고 전했다.
이어 “이번 일로 인해 고객 여러분께 심려를 끼쳐드린 점 진심으로 사과드린다”면서 “쿠팡을 사칭한 전화·문자·메신저 등을 통한 2차 피해에 유의해달라”고 당부했다.
