| 한스경제=김은영 기자 | 쿠팡에서 3000만명 이상의 개인정보가 유출된 사실이 드러나면서 보안 체계 부실 논란이 커지고 있다. 여기에 정보보호 예산 비중과 인력 비중 감소 흐름까지 드러나면서 관련 C레벨(Chief로 시작하는 기업 내 최상위 의사결정권자) 임원인 김광범 개인정보보호책임자(CPO)와 브랫 매티스 최고정보보안책임자(CISO)에 대한 책임론이 일고 있다.
5일 한국인터넷진흥원 정보보호 공시에 따르면 쿠팡의 지난해 정보기술 및 보호 부문 총 투자액은 1조9171억원으로 전년(1조1782억원)보다 62.7% 증가했다. 이 가운데 정보보호 부문(이하 보호) 투자액은 890억원으로 전년(660억원) 대비 35% 증가했다.
그러나 전체 정보 관련 투자액에서 보호가 차지하는 비중을 비교하면 4.6%에 불과했다. 지난해뿐만 아니라 보호 투자액 비율은 2021년 7.1%, 2022년 6.9%, 2023년 5.6%로 매년 쪼그라들었다.
쿠팡은 정보보호를 위해 거버넌스 및 컴플라이언스, 정보보호 및 개인정보보호 위험 관리, 수탁사 점검, 개인정보흐름도 현행화, 정보보호 인식제고, 보안솔루션 도입 및 투자 등 활동을 하고 있다고 주장했다.
정보보호 투자액은 인건비, 외주용역비, 정보보호자산 감가상각비, 정보보호 서비스이용, 시스템 구입비, 컨설팅, 교육·훈련비, 관련 통신회선 이용료, 정보보호시스템 유지보수 등에 사용됐다.
전체 매출 기준으로 비교해도 상황은 비슷하다. 지난해 매출액 38조2988억원 중 보호 투자액(890억원)은 0.2%에 불과하다. 쿠팡은 지난 2021년 이후 줄곧 0.2%대 수준을 유지했다. 아마존, 알리바바 등이 매출액의 1% 이상을 투자하는 것과 대조된다.
정보 관련 인력 역시 비슷한 흐름을 보인다. 지난해 총 정보 관련 인력은 3077명이며 그중 보호 인력은 212명으로 약 6.9% 수준에 그쳤다. 이는 2023년 7.5%에서 0.6%p 감소한 수치다.
문제는 개인정보 유출 사건이 이번 처음이 아님에도 불구하고 정보보호 투자 비중과 인력 비중을 줄였다는 점이다.
앞서 쿠팡은 이미 세 차례의 개인정보 유출 사건이 발생한 바 있다. 지난 2021년 10월 앱 업데이트 과정에서 총 14건의 이름·배송지 등 개인정보가 유출됐다. 또 2020년 8월부터 2021년 11월까지는 쿠팡이츠 배달원 13만5000명의 이름·전화번호 등이 유출됐으며, 2023년 12월에는 판매자 전용 시스템에서 주문자·수취인 2만2440명의 개인정보가 노출됐다.
정보보호 관련 인증·평가·점검은 2023년 3종류에서 지난해 6종류로 확대된 것으로 나타났다. APEC CBPR 인증서, ISO/IEC 27001·27017·27701, ePRIVACY, 정보보호 및 개인정보보호 관리체계(ISMS-P) 등을 인증 받았다. APEC CBPR 인증서와 ePRIVACY는 각각 올 8월과 6월에 만기 됐다.
가장 큰 문제는 보안 체계의 실질적 효과 여부에 대해 의심을 받고 있다는 점이다. 대응 과정에서 드러난 허술함도 도마에 올랐다.
공격 기간이 지난 6월 24일부터 11월 8일까지 약 5개월에 달했음에도 쿠팡 측은 즉시 인지하지 못했다. 개인정보보호위원회 등 관련 기관 신고도 지난달 20일에야 이뤄졌다. 즉각적인 탐지 시스템이 작동하지 않은 셈이다.
무엇보다 외부 공격으로 발생한 것이 아닌 지난해 12월 퇴사한 인증 시스템 개발자의 소행인 것으로 알려지면서 내부 관리의 헛점도 드러났다. 해당 직원은 외국인이며 인증 토큰 서버인증키를 이용한 것으로 알려졌다. 회사 측에서 직원의 퇴사 이후에도 이를 삭제하거나 갱신하지 않으며, 범죄에 악용된 것이다.
매티스 CISO는 지난 2일 국회 과방위 현안 질의에서 “내부에 있는 프라이빗 서명키를 취득한 후 이 키를 인증해 가짜 토큰을 만든 것”이라며 “높은 권한(Privileged access)을 가지고 있었을 가능성이 있다”고 밝혔다.
또 “조사가 끝나면 KISA·개보위·과기부와 협력하고 소통해 보안 체계를 강화하겠다”고 덧붙였다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
