내부 직원의 소행으로 대규모 고객 정보유출 사고를 겪은 쿠팡의 이번 사태는 2020년 캐나다 기반 전자상거래 플랫폼 '쇼피파이'(Shopify) 사태를 연상시킨다는 분석이 나온다.
당시 쇼피파이는 2명의 내부 직원이 약 200명의 소상공인의 고객 거래 기록에 접근해, 고객들의 이메일 주소와 이름, 우편 주소, 주문 내역 등이 유출되는 사고를 겪었다.
다행히 카드 결제정보와 기타 민감한 금융 정보는 새나가지 않았다.
쇼피파이는 사건을 인지한 즉시 두 직원을 해고하고 FBI와 캐나다 연방정부기관(OPC)의 수사에 착수했다. 소비자들은 쇼피파이에 대해 집단소송을 걸었다.
이후에도 쇼피파이는 지난해 제3의 앱 개발자에 의해 고객 온라인 세부 정보를 유출당하는 사고를 겪었다. 고객의 쇼피파이 ID와 성·이름, 이메일 주소, 휴대폰 번호 등이 새나간 것으로 나타났다.
쇼피파이는 고객 정보 시스템이 유출된 것은 아니며 앱 개발자 단독 소행이라고 결론 내렸다.
올해는 불안전한 서버로 인해 제3자 플러그인 침투로 수백개 온라인 상점들의 계정 탈취와 데이터 유출이 이뤄졌다.
2020년 사고 당시 쇼피파이는 직접적인 벌금 부과 대상이 아니며, 쇼피파이 플랫폼 입점 소상공인들에 대해 개별적으로 벌금이 매겨질 것으로 예상됐다. 일부 입점 상인이 내부 직원과 연루된 머천트 단위 정보 접근 악용 사례로 파악됐기 때문이다. 쇼피파이는 입점 상점들의 결제·유통 플랫폼일 뿐, 고객 데이터 컨트롤러는 머천트 단위 개별 입점 상점들이다.
따라서 해당 입점 상점의 상인들이 사고로 부과받을 수 있는 최대 벌금 한도는 유럽연합(EU) 일반개인정보보호법(GDPR)에 따라 2000만유로(약 290억원) 또는 글로벌 연간 매출의 4%, 캘리포니아 소비자 프라이버시법(CCPA/CPRA)에 따르면 위반 건수당 2500~7500달러(약 350만~1050만원)로 추정됐다.
다만 당시 쇼피파이 경우는 신용카드 결제정보·비밀번호 등 고위험 정보가 유출되지 않았고, 사고 발생 후 유출 범위 등을 즉시 보고했으며, 피해고객 보호 조치, 재발 방지책 등을 적절히 도입한 점이 참작됐다.
또한 결정적으로 정보 유출이 내부 직원 개인의 범죄 행위이고, 쇼피파이는 적절한 권한 관리와 로그 모니터링으로 정상적인 보안 체계를 가동하고 있었다는 점도 유리하게 받아들여졌다.
반면에 쿠팡의 경우, 정보유출 사고 이후 늑장대응과 책임 회피로 일관하고 있어 우려가 높아진다. 쿠팡은 쇼피파이와 달리, 결제·유통 플랫폼인 동시에 고객의 데이터 컨트롤러 역할도 수행한다. 쿠팡이 고객 개인정보의 최종 책임자인 셈이다.
쿠팡은 정보 유출을 인지한 시점보다 앞서 고객 민원이 제기됐음에도 이를 즉각 파악하지 못한 것으로 전해진다.
또한 지난 6월 24일부터 시작된 고객 계정의 개인정보 탈취가 약 5개월간 깜깜이 대응 속에 방치되다가 지난달 18일에야 관련 기관에 신고한 점도 비난의 빌미가 되고 있다.
정보를 빼돌린 용의자로 지목된 인물은 쿠팡에서 퇴직한 중국 국적의 개발자로 알려졌다.
박대준 쿠팡 대표는 이날 국회 과방위 긴급 현안 질의에서 유출 용의자가 한 명이 아니라 여러 명일 가능성에 대해 "수사 중인 사항"이라고 답변을 피했다.
소비자들은 쿠팡의 애매한 대응과 책임 회피를 강도높게 비판하고 나섰다.
한국소비자단체협의회는 지난 2일 성명서에서 "개인정보 유출사건에 대한 사실관계를 투명하게 공개할 것"을 촉구하며 관련 소비자 보호 및 배상대책 수립을 촉구했다.
협의회는 "실효성 없는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)제도를 전면 재검토하라"며 "소비자 피해에 대한 집단소송제와 징벌적 손해배상, 입증책임전환제도를 조속히 도입하라"고 요구했다.
이런 가운데 쿠팡은 이미 작년 회사 이용 약관에 서버 불법 접속 등으로 인한 손해에 대한 면책 조항을 넣은 것으로 나타났다.
쿠팡은 약 1년 전 회사 이용 약관 제38조 '회사의 면책' 부분으로, '서버에 대한 제3자의 모든 불법적인 접속 또는 서버의 불법적인 이용으로부터 발생하는 손해 등에 관해 책임을 지지 않는다'는 내용을 추가했다.
쿠팡 관계자는 이에 대해 "이 조항은 일반적으로 통용되는 면책 문구"라며 "약관 일원화 작업 과정에서 다른 약관에 있던 내용을 추가한 것"이라고 설명했다.
업계 관계자는 "플랫폼 시스템의 구조적 보안 취약점으로 고객 전체 데이터가 노출되거나 규제기관 보고 의무를 지연하거나 은폐하는 등의 경우 과징금이 부과될 수 있다"며 "쿠팡이 무려 5개월간 정보 유출을 방치하다가 신고한 점은 보안 관리 체계 미흡을 지적할 만하다"고 말했다
김현정 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스
Copyright ⓒ 비즈니스플러스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
