쿠팡 개인정보 유출, 우리가 너무 싸게 팔린다는 증거

내 시선 속의 이슈

유영규 기자 sbsnewmedia@sbs.co.kr

쿠팡 개인정보 유출 사태를 보면, 이건 “해커가 너무 똑똑해서”가 아니라 “회사 보안이 너무 엉망이라” 벌어진 사고에 가깝다. 그리고 그 엉망의 대가를, 결국 소비자들이 치르게 생겼다.

쿠팡은 처음에 “4,536개 계정 정도만 노출됐다”고 발표했다. 그런데 추가 조사 결과, 실제로 유출된 건 3,370만 개 계정이었다. 거의 7,500배가 뛴 숫자다. 대한민국 국민 절반을 훌쩍 넘는 규모, 과거 싸이월드·네이트 사태와 비교해도 손꼽히는 초대형 사고다.

유출된 정보는 이름, 이메일, 전화번호, 배송지 주소, 주문 내역 등이다. 카드번호나 비밀번호만 아니면 다행일까? 아니다. 이 정보들만으로도 피싱, 스미싱, 스토킹, 보이스피싱은 얼마든지 가능하다. 우리의 “하루 생활 지도”가 통째로 복제된 것과 다름없다.

더 충격적인 건, 이 모든 게 ‘고도의 해킹 공격’이 아니라 퇴사자의 “마스터키 방치”에서 비롯됐다는 점이다. 쿠팡 인증 시스템을 담당하던 전 직원이 퇴사 후에도 토큰을 만들 수 있는 JWT 서명키, 일종의 디지털 마스터키를 그대로 쥐고 있었고, 회사는 그 키를 바꾸지도, 폐기하지도 않았다.

쉽게 말해 이렇다. 회사가 “일회용 출입증(토큰)은 괜찮겠지”라며 문을 닫았다고 생각했는데, 사실은 출입증을 무한대로 찍어낼 수 있는 도장(서명키)을 퇴사자에게 계속 쥐여준 셈이다. 그 도장을 쥔 사람은 회사 안에 몇 번이고, 아무도 모르게, 원하는 만큼 드나들 수 있다. 그리고 실제로 그렇게 했다. 해외 서버를 통해 6월 24일부터 11월 18일까지 약 5개월 동안, 쿠팡 시스템은 도둑의 발소리를 전혀 감지하지 못했다.

쿠팡은 연간 약 890억 원의 보안 예산과 200명이 넘는 보안 인력을 보유한 회사다. 그럼에도 퇴사자가 들고 나간 서명키 하나에 보안 체계 전체가 무너졌다. 로그 분석도, 이상 행동 탐지도, 내부 통제도 제 역할을 하지 못했다. “회사 망해도 할 말 없는 수준”이라는 국회의 평가가 과장이 아니다.

여기에 대응 태도는 더욱 실망스럽다. 개인정보보호위원회 조사 결과, 쿠팡은 이 사건을 “유출”이 아니라 “노출”이라고 표현하며 모호하게 알렸고, 안내 공지도 1~2일 만에 내리는 등 축소 정황이 포착됐다. 심지어 유출 항목에 포함된 ‘공동현관 비밀번호’ 같은 민감한 정보조차 초기에는 안내에서 빠져 있었다. 결국 당국이 “그 표현, 그 태도 전부 다시 고치라”고 시정 명령을 내렸다.

여기서 드러나는 건 기술 문제가 아니라, “개인정보를 대하는 태도”다.

쿠팡 입장에서 개인정보는 서비스 고도화를 위한 데이터, 비즈니스를 확장하는 자산, 마케팅을 정교하게 타깃팅할 수 있는 연료다. 하지만 이용자 입장에서 개인정보는 다르다.

내 주소는 내 가족이 사는 곳이고,

내 전화번호는 나를 직접 겨냥할 수 있는 창구이고,

내 주문 내역은 내가 언제 어디서 무엇을 하고 사는지, 취향과 습관, 경제력까지 드러내는 생활의 족적이다.

회사는 이걸 “데이터”라고 부르고, 우리는 그걸 “삶의 흔적”이라고 부른다.

문제는, 이 두 관점 사이의 간극을 기업이 너무 쉽게 무시해 왔다는 것이다.

이번 사태 이후, 대통령은 “기업의 데이터 보호 의무를 한 단계 더 강화해야 한다”며, 과징금과 징벌적 손해배상 상향을 직접 언급했다. 현재 법 체계에서도 쿠팡은 매출의 3%를 넘는, 1조 원 규모 과징금까지 거론되는 상황이다.

하지만 과징금 몇 번으로 끝날 일인지, 우린 냉정하게 다시 물어야 한다.

왜 우리는 이렇게 반복해서 털리는가.

결국 답은 뻔하다.

털려도, 버틸 수 있기 때문이다.

대형 플랫폼 입장에서 데이터 유출은 “위기”이면서 동시에 “계산 가능한 리스크”다. 일정 수준의 과징금, 일시적인 이미지 타격, 주가 하락은 시간이 지나면 복구될 수 있다. 그러나 피해자의 삶은 그렇지 않다. 한 번 새어나간 정보는 다시 담을 수 없다. 전화번호를 바꾸고, 주소를 옮겨도, “이 사람은 이런 소비 패턴과 생활 동선을 가진 사람”이라는 정보는 이미 어딘가에 복제돼 남는다.

그래서 이번 쿠팡 사태는, 단지 한 기업의 실수나 일탈을 넘어, 한국 사회가 개인정보를 얼마나 가볍게 다뤄왔는지를 고발하는 사건이다. 사이버 공격의 기술이 고도화되기 전에, 우리의 무감각이 먼저 고도화된 건 아닐까.

이제 필요한 건 뻔한 사과문도, “재발 방지에 최선을 다하겠다”는 상투적인 문장도 아니다.

첫째, 퇴사자 계정 비활성화, 권한 회수, 서명키·인증키 교체 같은 기본 절차를 법으로 강제하고, 이를 어길 경우 ‘징벌’이라는 단어가 무겁게 느껴질 만큼의 책임을 물어야 한다. 이건 선택이 아니라 최소한의 안전장치다.

둘째, 일정 규모 이상의 데이터 보유 기업에 대해서는 “사고 한 번 나면 회사를 접어야 할 수도 있다”는 수준의 규범과 제재를 만들어야 한다. 그렇게 해서라도, 기업이 개인정보를 비용이 아니라 “위험을 동반한 타인의 자산”으로 인식하도록 압박해야 한다.

셋째, 이용자에게도 선택권을 돌려줘야 한다. 최소 수집·목적 외 사용 금지·보관 기한 명시·파기 의무를 실질적으로 작동하게 만들고, 이용자가 원할 때는 간편하게 탈퇴하고 데이터를 삭제할 수 있어야 한다. 지금처럼 “서비스는 탈퇴했는데, 정보는 어디까지 남아 있는지 알 수 없는” 구조는 더 이상 용납되기 어렵다.

마지막으로, 우리 각자도 물어야 한다.

“나는 편리함과 맞바꾸면서, 무엇을 포기하고 있는가?”

새벽배송, 원클릭 결제, 로켓와우 멤버십.

우리가 사랑했던 그 모든 편리함 뒤에는, 플랫폼이 한 사람의 삶을 얼마나 촘촘하게 들여다보고 있었는지가 숨겨져 있었다. 이번 쿠팡 사태는, 우리 모두가 그 사실을 더 이상 외면할 수 없게 만든 사건이다.

개인정보는 ‘서비스를 위해 잠시 맡겨둔 것’이지, ‘기업이 마음대로 굴려도 되는 재산’이 아니다.

이 아주 단순한 문장을, 이제는 기업이 아니라 우리 사회 전체가 법과 제도로 새겨 넣을 차례다.