3천만 명 정보 노출에 이커머스 업계도 '긴급 점검' 착수
참여연대 "미국 기업이었어도 이렇게 다뤘겠나"…쿠팡 책임 공세 확산
법 위반 시 매출 3% 과징금 가능…"수천억 부담 불가피"
[서울=뉴스핌] 조민교 기자 = 국내 이커머스 1위인 쿠팡에서 대규모 개인정보 유출 사고가 발생한 가운데 사고가 최소 5개월 전부터 지속됐음에도 내부에서 이를 인지하지 못한 것으로 드러나 보안 체계 전반에 대한 근본적인 개선 요구가 커지고 있다.
1일 업계에 따르면 쿠팡은 지난달 18일 사고를 처음 인지하고 20일과 29일 개인정보보호위원회에 신고했다. 조사 결과 정보 유출 시도는 지난 6월 24일부터 발생한 것으로 추정된다. 초기 피해 규모는 약 4500건으로 파악됐으나 이후 추가 확인 과정에서 약 7500배 증가한 3370만 건으로 수정 공지됐다. 유출된 정보는 고객 이름, 이메일, 전화번호, 배송지 주소, 일부 주문 내역 등으로, 쿠팡 측은 결제 정보는 포함되지 않았다고 설명했지만 소비자 불안은 가라앉지 않고 있다.
특히 쿠팡이 사고 직전까지 보안을 '영향 없다'고 판단한 점이 논란이다. 쿠팡은 올해 2월 미국 증권거래위원회(SEC)에 제출한 사업보고서에서 "보고서 작성 기준 사이버보안 위협으로 인한 실질적 영향은 없으며 향후 중대한 영향을 미칠 가능성도 없다"고 공시했다. 또 외부 평가 및 정기 모니터링 체계를 운영 중이라고 강조하기도 했다. 그러나 공시 4개월 후 3000만 명 이상의 정보가 유출됐다.
이커머스 업계는 충격에 빠졌다. 쿠팡은 업계 내 정보보호 투자액 1위 기업으로, 한국인터넷진흥원(KISA)에 따르면 올해 IT 분야에 1조9171억 원을 투입하고 이 중 890억 원(4.6%)을 정보보호에 사용했다. 최근 4년간 누적 보안 투자액은 2700억 원을 넘는다. 그럼에도 5개월간 유출 사실을 감지하지 못한 것은 시스템이 정상적으로 작동하지 않았거나 내부 인증키 관리 등 운영 체계 자체의 허점이 있었던 것이라는 분석이 나온다.
한 업계 관계자는 "보통 개인정보를 일정 건수 이상 옮기면 내부적으로 스크리닝 되게 되어 있는 것으로 알고 있다"라며 "실제 내부 탈취가 맞다면 퇴직자의 계정 관리가 미흡했거나 계정 권한 설정 및 인증 절차의 부족 등이 취약점이었을 가능성이 높다"고 말했다. 실제 이번 사고가 외부 침입이 아닌 퇴사 직원이 장기 방치된 인증토큰과 서명키를 활용했을 가능성이 거론되면서 업계는 자체적으로 ▲퇴직자 계정 회수 ▲권한 통제 ▲로그 자동 감시 ▲이상 탐지 강화 등을 중심으로 대응 점검에 착수한 상태다.
현재 쿠팡은 현관 비밀번호 등 민감 정보 유출 여부에 대해 "조사가 진행 중이라 확인이 어렵다"는 입장을 밝히고 있다. 박대준 쿠팡 대표이사는 "현재는 피해자와 피해 범위, 유출 내용을 명확히 확정하는 것이 우선"이라고 말했다. 즉 고객별로 정확히 어떤 정보가 새어 나갔는지는 아직 파악되지 않은 상황이다.
쿠팡의 보안 문제는 이번이 처음은 아니다. 쿠팡은 지난 2020년 이후 세 차례 개인정보보호위원회로부터 배달원 개인정보 유출 사고 관련 과징금과 과태료 처분을 받은 바 있다. 참여연대는 이날 논평을 통해 "미국 기업인 쿠팡이 미국에서 사업했어도 이런 수준의 보안 관리를 했겠는가"라며 "피해 소비자에게 충분한 정보 공개와 납득 가능한 보상 대책을 내놓아야 한다"고 지적했다.
이번 사태로 인해 향후 쿠팡이 부담하게 될 법적 책임 규모도 상당할 것으로 전망된다. 개인정보보호법 개정안에 따르면 관련 법 위반 시 사업 매출의 최대 3%까지 과징금 부과가 가능하다. 지난 4월 SK텔레콤은 정보 유출로 1347억 원의 과징금을 부과받은 바 있다. 업계는 쿠팡의 이번 피해 규모가 이를 크게 상회하는 만큼 과징금이 수천억 원대에 이를 가능성도 배제할 수 없다고 보고 있다.
mkyo@newspim.com
