연말 쇼핑 성수기를 앞두고 주요 이커머스 기업에서 개인정보 유출과 무단 결제 사고가 잇따라 발생하면서 소비자들의 우려가 커지고 있다. 쿠팡에서 수천만 건 규모의 개인정보 유출 사고가 발생한 데 이어 G마켓에서도 수십 명의 계정이 도용돼 상품권이 무단 결제되면서 단순 개인정보 유출 피해뿐 아니라 이로 인한 2차 피해 우려까지 제기되고 있다.
기업들은 해킹이 아닌 '외부 정보 탈취'에 의한 로그인이라고 해명하지만 이커머스 플랫폼에 개인정보·결제수단을 등록해 사용하는 소비자 입장에서는 개인정보 보안 관리에 대한 의구심이 높아지고 있다. 전문가들은 정보 유출 이후 발생하는 2차 피해가 더 위험한 만큼 기업과 정부 모두의 대응 체계가 구조적으로 보완돼야 한다고 경고했다.
3일 유통업계와 금융당국 등에 따르면 G마켓 이용자 60여명은 지난달 29일 자신도 모르는 사이 스마일페이를 통해 상품권이 결제됐다. 피해 금액은 1인당 3만~20만원으로 소액이지만 동일한 수법으로 단기간에 다수 계정이 도용됐다. G마켓은 내부 점검 결과 시스템 해킹 흔적은 없었다며 외부에서 탈취한 아이디·비밀번호 조합을 이용해 로그인한 것으로 보인다고 설명했다. 사실상 타 사이트나 불법 경로에서 유출된 다른 개인정보가 그대로 악용된 것으로 추정된다는 의미다.
G마켓은 사고 확인 즉시 IP 차단, 2차 인증 강화 등 후속 조치를 시행하고 피해 회원에게 비밀번호 변경과 추가 보안 설정을 안내했다. 다만 플랫폼 자체 시스템 결함이 아니라는 입장을 고수하며 법적 신고 대상이 아니라고 선을 그었다.
그러나 올해 이커머스 업계에서 접속 기록 조작, 인증 토큰 유출, 관리자 계정 탈취 등 유형이 다른 사이버 사고가 연이어 발생한 만큼 소비자들은 불안감을 감추지 못하고 있다. 한 소비자는 "내가 관리를 잘해도 기업 보안이 뚫리면 속수무책 아니냐"며 "상품권처럼 현금화 가능한 품목이 계속 악용되는 이유도 기업이 알고 있으면서 대응이 늦다"고 토로했다.
이날 쿠팡의 개인정보 유출 사고에 대한 개인정보보호위원회의 긴급 전체회의도 개최됐다. 개인정보위 조사 결과 쿠팡은 미상의 공격자가 고객 계정에 비정상적으로 접근해 주소, 전화번호, 공동현관 비밀번호 등 민감한 정보가 외부로 유출된 사실을 인지하고도 이를 고객에게 '일부 노출'이라고만 통지했다. 홈페이지 공지도 단기간만 게재해 사실상 사고를 축소한 것으로 확인됐다. 일부 항목은 유출 사실조차 안내되지 않았다.
개인정보위는 쿠팡의 대응을 "국민의 혼란을 초래하고 피해 예방 조치를 심각하게 소홀히 한 사례"라고 지적했다. 이어 쿠팡에 개인정보 유출 사실을 정확히 반영한 재통지, 누락 항목 포함 공지, 홈페이지 팝업 등을 통한 장기 안내, 피해자 대상의 2차 피해 방지 요령 제공 등 즉각 조치를 요구했다. 아울러 향후 조사 과정에서 추가 피해가 확인되면 신속히 재통지하고, 현재 운영 중인 전담 민원 대응팀의 기능을 강화해 소비자 문의에 실시간 대응할 것을 촉구했다.
정부는 특히 이번 사고의 중대성을 무겁게 보고 있다. 쿠팡은 국내 이커머스 시장 점유율 1위 기업으로 월간 활성 사용자 수가 3400만명에 달한다. 국민 다수가 이용하는 플랫폼에서의 유출은 개별 회원의 불편을 넘어 국가적 차원의 신뢰 문제인 만큼 위반사항 적발 시 엄정 제재하겠다고 밝혔다.
보안 전문가들은 이번 두 사고의 공통점이 기업의 초기 대응 실패라고 진단했다. 해킹 여부가 핵심이 아니라 사고 발생 직후 고객에게 사실을 투명하게 알리고 비밀번호 변경, 공동현관 비밀번호 교체, 결제수단 점검 등 실질적 행동을 유도하는 '2차 피해 차단'이 무엇보다 중요한데 이 단계에서 기업들의 매뉴얼 준수가 미흡했다는 것이다.
실제로 쿠팡의 경우 공동현관 비밀번호가 유출된 사실을 뒤늦게 통지하면서 다수의 이용자가 자신이 어떤 위험에 처해 있는지조차 인지하지 못한 것으로 드러났다. G마켓 또한 "해킹이 아니다"는 설명만 반복하며 이용자들의 불안을 해소하는 데에는 부족했다는 지적을 받는다.
이커머스 플랫폼은 특성상 계정 하나에 배송지, 생년월일, 결제수단, 가족 정보까지 광범위하게 연결돼 있다. 한 번 유출되면 단일 피해가 아니라 연쇄 피해가 이어진다는 우려가 나오는 배경이다.
최근 다크웹 등지에서 국내 이커머스 계정 정보가 고가에 거래되는 정황도 포착되고 있다. 정부는 정보 유·노출 및 불법유통 모니터링 기간을 3개월간 운영하며 대응을 강화하고 있지만 정보가 이미 외부로 유통되기 시작했다면 사고 이후의 피해 차단이 더욱 중요하다는 입장이다.
소비자 불안이 커진 만큼 금융당국도 움직이고 있다. 금융감독원은 G마켓 무단결제 사고와 관련해 현장 점검을 예고하며 결제 프로세스와 보안 체계를 직접 확인한다는 방침이다. 한 금융권 관계자는 "상품권처럼 즉시 현금화 가능한 상품은 범죄자들의 주요 공격 수단"이라며 "플랫폼과 금융기관 모두 기본적인 모니터링 체계를 강화해야 한다"고 말했다.
문제는 이러한 사고가 기업의 일시적 실수가 아니라는 점이다. 올해 들어 벌써 여러 대형 플랫폼에서 개인정보 유출 사고가 반복됐고, 사고가 발생할 때마다 기업들은 제대로 된 안내보단 사실을 축소하는 등의 행보로 일관했다. 반복되는 사고에도 기업들의 대응 기조가 크게 달라지지 않았다는 점은 향후 더 큰 사고로 이어질 가능성을 높인다는 우려도 나온다.
한국정보보호산업협회 관계자는 "아무리 정부가 감시를 강화해도 각 기업의 초기 판단과 보고, 고객 공지가 늦어지면 피해는 걷잡을 수 없다"며 "이커머스 산업의 신뢰도 회복은 결국 기업의 투명성과 책임성에 달려 있다"고 말했다. 이어 "사고를 즉각 통지하고 구체적 피해 예방 행동을 안내하는 '신속 대응 체계'가 마련돼야 한다"고 설명했다.
Copyright ⓒ 르데스크 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
