이번 사태가 특히 심각한 이유는 유출된 정보의 민감성 때문이다. 이름, 전화번호, 이메일, 배송지 주소, 주문 내역 등은 물론 심지어 아파트 현관 비밀번호까지 개인의 사생활이 구체적으로 드러나는 정보들이 포함되어 있으며, 이는 보이스피싱, 스토킹, 사칭 범죄 등 2차 피해로 직결될 수 있다.

결제 정보나 비밀번호가 포함되지 않았다는 쿠팡의 해명은 불안 해소에 도움이 되지 않는다. 이미 주소와 연락처만으로도 충분히 악용 가능한 환경이며, 용의자 특정조차 불확실한 상황에서 유출된 정보가 어디로 흘러갔는지조차 알 수 없다.

더 큰 문제는 사건의 원인이 기업 내부 관리 체계의 붕괴에서 비롯됐다는 점이다. 퇴직한 전직 개발자가 재직 시 받은 서명키를 회수하지 않고 방치해, 무려 5개월 동안 비정상적인 접속을 반복적으로 허용했다는 사실은 기본적인 보안 원칙이 작동하지 않았음을 의미한다.

접근통제, 이상행위 탐지, 로그 분석, 보안관제 등 필수적인 기술적 조치가 모두 무력화된 상황에서 쿠팡이 그동안 어떤 기준으로 개인정보를 다뤄왔는지 의문을 품지 않을 수 없다. ISMS-P가 규정한 퇴직자 계정 회수 절차조차 지키지 않았다는 지적은 쿠팡이 ‘성장’의 속도 뒤에 ‘보안’의 기본을 방치해왔음을 드러낸다.

개인정보 유출은 쿠팡만의 문제는 아니다. 전체 대기업의 문제다. 사진=ImageFX

이제 필요한 것은 책임 회피가 아니라 문제 해결을 위한 실질적인 행동이다. 우선 쿠팡은 유출 경로 규명과 용의자 검거, 유출 정보의 추가 확산 방지에 모든 역량을 집중해야 한다. 동시에 피해 가능성이 있는 고객 전원에게 사실을 투명하게 알리고, 소비자가 실제로 어떤 위험에 노출될 수 있는지 명확하게 안내해야 한다.

장기적인 피해 가능성까지 고려한 현실적인 보상 방안 역시 마련해야 한다. 주소, 전화번호, 주문 내역은 변경이 쉽지 않으며, 이로 인한 불안과 피해는 단기간에 끝나지 않는다. 따라서 쿠팡은 이번 사건을 단순한 보상 절차로 축소할 것이 아니라, 소비자의 신뢰를 회복할 수 있을 만큼 충분하고 실질적인 구제책을 제시해야 한다.

더욱 중요한 것은 재발 방지 대책이다. 쿠팡은 인증, 접근통제, 권한관리, 보안관제 등 핵심 시스템을 ‘제로 트러스트’ 원칙에 따라 전면 재정비해야 한다. 내부자·퇴직자 통제 체계를 강화해 구조적 취약점을 제거하고, 개선 과정과 기준을 외부에 투명하게 공개해야 한다. 이는 기업의 선택이 아니라, 거대 플랫폼이 보유한 국민의 개인정보를 지켜야 할 최소한의 사회적 의무다.

이번 사태는 모든 기업들에 대한 경고다. 규모만 크고 비용만 많이 쓰는 플랫폼이 아니라, 기본을 지키는 기업이 되어야 한다는 마지막 경고다. 쿠팡이나 내로라한 대기업들이 그 의미를 제대로 이해하지 못한다면, 이 사건은 일회성 위기가 아니라 장기적인 불신과 규제 강화의 출발점이 될 것이다. 이제 국민이 요구하는 것은 화려한 성장 스토리가 아니라, 안전하고 책임 있는 운영이다. 국민 대다수의 개인정보를 보유하고 있는 쿠팡과 대기업들은 그 요구에 응답해야 한다.