국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다.

특히 거의 반년 전부터 고객 정보가 유출됐을 가능성도 제기됐다.

이에 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 이번 사태에 대한 수사에 착수했다.

30일 유통업계에 따르면 쿠팡은 전날 오후 "고객 계정 약 3천370만개가 무단으로 노출된 것으로 확인됐다"고 공지했다.

쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다.

쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다.

3000만명 넘는 쿠팡 고객 이름과 전화번호, 주소 등 개인정보가 유출된 것은 외부 해킹이 아닌 내부자 소행인 것으로 알려졌다.

중국 국적 전직 직원이 이런 일을 벌인 것으로 추정되는데, 그는 이미 한국을 떠났다고 한다.

30일 유통업계 등에 따르면 쿠팡 고객 정보는 쿠팡에서 일했던 중국 국적자가 유출한 것으로 알려졌다.

하지만 이 직원이 외국인인 데다 쿠팡에서 퇴사해 이미 한국을 떠난 것으로 전해지면서 수사를 진행하는 데 어려움을 겪는 게 아니냐는 우려도 나온다.

서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태 관련 고소장을 받고 수사에 착수했다.

쿠팡 측이 경찰에 제출한 고소장엔 피고소인이 특정되지 않고 ‘성명불상자’로 기재됐다. 다만 쿠팡은 이번 사태가 해킹을 비롯해 외부 요인에 따른 게 아니라는 의사를 내비쳤다.

쿠팡은 지난 20일 입장문에서 “고객 개인정보가 비인가 조회된 것으로 확인됐다. 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 설명했다.

쿠팡은 이 사고를 지난 18일 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다.

아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다.

서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인 정보 유출 사태에 대한 수사에 착수했다.

쿠팡은 지난 20일에는 정보 유출 피해 고객 계정이 4천500여개라고 발표했으나, 전날 3천370만개라고 다시 공지했다.

쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)은 2천470만명인데, 이보다 많다. 사실상 전체 고객의 정보가 유출된 것으로 보인다.

또 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1천348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2천324만명)를 뛰어넘는 규모다.

다른 기업들의 보안 관련 사고에서도 당국의 조사가 진행되면서 피해 규모는 더 커졌다.

앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서는 "현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다"고 공지했으나, 그로부터 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출됐다고 밝혔다.

KT의 경우 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 이달 강제수사에 착수했다.