 |
| 1일 서울 송파구 쿠팡 본사 부근 아파트에 쿠팡에서 발송된 택배 봉투가 놓여 있다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. (사진=연합뉴스) |
[알파경제=이준현 기자] 쿠팡이 대규모 고객 정보 유출 사고를 미국 증권거래위원회(SEC)에 뒤늦게 신고해 논란이 일고 있다.
17일 업계에 따르면 쿠팡의 모회사인 쿠팡Inc는 15일(현지시간) SEC에 제출한 중요 사건 신고서(Form 8-K)를 통해 전직 직원이 연루된 고객 정보 무단 접근 사고를 인지했다고 공시했다.
쿠팡은 보고서에서 지난달 18일 고객 계정에 대한 무단 접근 사실을 인지했다고 밝혔다. 전직 직원 1명이 최대 3300만 개 고객 계정과 연관된 이름, 전화번호, 배송 주소, 이메일 주소를 취득했을 가능성이 있으며, 일부 계정의 주문 이력도 유출됐을 수 있다고 설명했다.
문제는 공시 시점이다. SEC는 상장 기업이 사이버 보안 사고를 '중대하다'고 판단한 경우 해당 시점으로부터 4영업일 이내에 사고의 성격과 범위, 잠재적 영향 등을 공시하도록 의무화하고 있다. 그러나 쿠팡은 사고 인지 시점으로부터 약 12영업일이 지난 뒤에야 보고서를 제출했다.
미국 금융 당국은 투자자 보호를 위해 정보 은폐나 늑장 공시에 엄격한 제재를 가한다. 2018년 야후는 2014년 발생한 대규모 해킹 사실을 2년 뒤에야 공시했다는 이유로 SEC로부터 3500만달러(약 480억원)의 벌금을 부과받았다.
쿠팡은 보고서에서 한국 규제당국이 조사를 개시했으며 이에 전면 협조하고 있다고 밝혔다. 과징금 부과 가능성을 인정하면서도 현재로서는 그 규모나 손실 범위를 합리적으로 추산하기 어렵다고 설명했다.
회사는 이번 사고로 운영이 중대하게 중단되지는 않았다고 평가하면서도, 경영진의 업무 집중도 분산, 잠재적 매출 손실, 규제 기관의 벌금 및 소송 비용 증가 등으로 재무적 손실이 발생할 가능성이 있다고 명시했다.
쿠팡은 취득된 데이터가 외부에 공개됐는지 여부는 회사가 인지한 범위 내에서 확인되지 않았다며, 은행 정보, 결제 카드 정보, 로그인 정보는 유출되거나 침해되지 않았다고 강조했다.
한편 박대준 쿠팡 대표는 지난 10일 개인정보 유출 사태에 대한 책임을 지고 사임했으며, 해롤드 로저스 쿠팡Inc 최고관리책임자 겸 법무총괄이 임시 대표로 선임됐다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
