"보안 투자·인증제 무색"⋯개인정보 유출 못 막았다

[아이뉴스24 진광찬 기자] 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생하면서 유통업계 전반에 비상등이 켜졌다.

그간 기업들은 정보보호 관련 관리체계 인증을 내세우며 보안 역량을 강조했지만, 쿠팡에선 사실상 국민 3분의 2에 달하는 고객 정보가 유출되면서 구조적 문제점이 드러났다는 지적이 나온다.

1일 업계에 따르면 이번 쿠팡 개인정보 유출 사태로 이커머스를 포함한 유통업계 전반에 보안 '포비아(공포)'가 확산하는 분위기다. 쿠팡은 '유통 공룡'으로 군림하면서 막대한 비용 투자를 통한 AI 활용, 물류 효율화를 선도해왔다는 점에서 충격파가 작지 않다.

특히 단순한 예산 부족이 아닌 운영 체계와 내부 문제점으로 허점이 드러났다는 비판이 거세다. 쿠팡은 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 두 차례나 취득한 바 있다.

또 정보보호 관련 투자금액도 유통업계에서 가장 큰 규모를 기록하고 있다. 한국인터넷진흥원에 따르면 쿠팡은 올해 정보기술에 1조9171억원, 이중 정보보호 부문에 890억원을 각각 투입했다. 국내 기업 전체로 보면 삼성전자와 KT 다음으로 크다. 다만 지난해 연결 기준 매출이 38조2988억원이라는 점을 고려하면 절대적인 비중은 약 0.2%로, 외형 성장에 미치지 못하고 있다는 시선도 있다.

문제는 꾸준한 비용 투자와 인증제도 구축에도 관리 사각지대 속 디지털 성벽이 무너졌다는 점이다. 쿠팡의 전 직원이 퇴사 후에도 승인받지 않은 ID로 고객 정보를 조회, 유출했다는 게 이번 사고 원인인 것으로 추정된다는 점은 더욱 뼈아픈 대목이다. 정보 유출이 시작된 지 5개월이 지난 후에야 이상 징후를 감지했다는 점에서는 보안 인식 자체가 미흡했다는 비판도 나온다.

소비자들의 불안은 사그라들지 않고 있다. 주소 등 실생활과 직접적으로 연결된 정보가 유출됐으나 공지 다음 날에야 공식 사과문을 내는 등 쿠팡의 대처가 신속하지 않고 충분하지 않았다는 점에서다. 보상책을 마련해야 한다는 목소리도 커지고 있다.

이런 가운데 쿠팡에 대한 집단 소송 움직임도 일고 있다. 이미 복수의 집단 소송 커뮤니티가 형성됐다. 서울 관악구에 거주하는 소비자 유모(27)씨는 "일주일에 적어도 1~2번은 쿠팡을 이용했는데, 혼자 사는 입장에서 공동현관 비밀번호까지 유출됐다는 점이 가장 무섭다"며 "가장 많이 사용하는 앱에서 개인정보가 빠져나갔다니 다른 플랫폼도 이용하기가 두렵다"고 말했다.

최근 이커머스 시장에서 글로벌 사업자와의 협업하는 사례가 늘고 있다는 점도 소비자들 사이에서는 불안 요소 중 하나다. 알리익스프레스·테무·쉬인 등 C커머스(중국계 이커머스) 기업의 국내 진입이 이뤄진 만큼 데이터 접근 범위나 국외 이전 가능성에 대한 우려가 적지 않다.

이에 업계는 이번 사태를 보안 수준을 근본적으로 재점검하는 계기로 삼는 분위기다. 단순히 내세우기용 인증 체계 구축이 아닌 실질적인 투자, 인력 확충 등 양적·질적 수준을 끌어올려야 한다는 목소리가 커지고 있다.

특히 동종 업계인 이커머스들은 내부 보안을 정밀 점검하고 나섰다. 쿠팡 사태가 외부 세력의 해킹보다 인증토큰과 서명키를 이용한 전직 직원 소행에 무게가 실리면서 전방위적인 점검 이뤄지는 모습이다. 이커머스 A사는 이번 사태 직후 긴급 보안점검을 진행했고, B사는 내부 통제를 강화하고 있는 것으로 전해졌다.

업계 관계자는 "인증 획득은 완전한 보완이라는 안일한 구조적 인식을 바꿔야 한다"며 "마케팅 수단이 아닌 실질적인 정보보안 체계 구축과 취약점 점검 체계를 구축하려는 움직임이 커질 것으로 보인다"고 말했다.