쿠팡에서 발생한 대규모 개인정보 유출 사태는 단순한 사고를 넘어, 한국 최대 이커머스 플랫폼의 구조적 취약성을 드러낸 사건이다. 수천만 명에 이르는 이용자 정보가 어떻게, 어떤 경로로 외부로 흘러나갔는지에 대한 의문은 여전히 해소되지 않았으며, 플랫폼 기업의 보안 체계와 책임 영역에 대한 사회적 논쟁도 커지고 있다. 본지는 이번 사안을 단일 사건으로 소비하는 대신, ‘上·中·下’ 3부 기획 시리즈를 통해 보다 입체적으로 조명하고자 한다. 上편에서는 사건의 전모와 쿠팡의 초기 대응을 살펴보고, 中편과 下편에서는 내부 시스템과 한국 플랫폼 산업 전반의 보안 현실을 분석하며, 재발 방지 대책과 소비자 보호, 그리고 변화해야 할 미래의 보안 패러다임을 제시하고자 한다. [편집자주]
| 한스경제=하지현 기자, 이현령 기자 | 쿠팡에서 3370만 건이 넘는 고객 개인정보가 유출되면서 보안 체계 및 정부의 제도 개선 등에 관심이 모이고 있다. 이커머스 업계 전반에서 보안 강화에 나서는 가운데, 쿠팡의 신뢰 회복을 위해 위기관리 체계 강화가 필요하다는 목소리가 나온다.
△'제로트러스트' 보안 모델 필요성 대두
쿠팡의 개인정보 유출 사고 용의자가 전 직원이라고 알려지면서 내부통제 실패에 대한 지적이 제기되고 있다. 한 업계 관계자는 쿠팡이 외부 공격에 대한 방어에 정보보호 투자를 집중해 내부자에 대한 공격 대비는 미비했을 것으로 추정했다. 이에 ‘제로트러스트’ 기반 보안 시스템에 대한 필요성이 주목받고 있다. 제로트러스트는 ‘아무도 신뢰하지 말고 항상 검증하라’라는 원칙을 바탕으로 내부와 외부 구분 없이 모든 접근을 확인하는 보안 모델이다. 현재 원격 근무가 증가하는 환경에서는 기존 외부 위협에 치중한 보안 방식이 한계가 있다는 설명이다.
이정헌 더불어민주당 의원도 지난 2일 과학기술정보방송통신위원회 현안 질의에서 “모든 접근 시도·요청·트래픽 등을 잠재적 위험으로 간주할 필요가 있다”라며 “이 같은 철저한 보안 체계 전환이 없으면 쿠팡 해킹 사태와 같은 일들이 다시 반복될 수밖에 없다”라고 강조했다.
일각에서는 쿠팡이 탈퇴한 회원 정보를 분리 보관하지 않았다는 의혹도 제기된다. 앞서 박대준 쿠팡 대표는 “휴면 및 탈퇴 회원 정보도 일부 유출됐을 것”이라고 밝혔다. 쿠팡의 개인정보 처리방침에 따르면 회원 탈퇴 후 아이디·이름·휴대폰번호·서비스 사용기록 등 개인정보는 90일간 보관 후 파기된다. 다만 ‘전자상거래 등에서의 소비자보호에 관한 법률’에 따라 대금결제·재화 등의 공급에 관한 기록은 5년간 보유한다. 이 경우 개인정보보호법에서는 해당 정보를 다른 개인정보와 분리해 저장 및 관리해야 한다고 명시하고 있다.
△정부 제도개선 목소리…실효성 의문
이번 유출 사고로 제도개선에 대한 목소리도 높아지고 있다. 쿠팡은 앞서 2020년, 2021년, 2023년에도 각각 유출 사고가 발생했다. 그러나 2021년과 2024년 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 두 차례 받았다.
개인정보보호법에 따르면 ISMS-P는 부정한 방법으로 인증받거나 위반 사유가 중대한 경우 등의 이유로 취소할 수 있다. 다만 현재까지 취소된 기업은 없다. 해당 인증의 사후 심사가 약 5일 동안 서면 심사와 샘플링 중심으로 진행된다는 점도 지적된다. 이에 정부는 인증 후에도 실제 운영이 기준에 맞는지 점검하고 심각한 위반이 확인되면 인증을 취소하겠다고 밝혔다.
대규모 유출 사고인 만큼 징벌적 손해배상제에 대한 관심도 집중된다. 개인정보보호법에 따르면 개인정보처리자의 고의 또는 중대한 과실로 개인정보 분실·도난·유출·위조 등이 발생하면 손해액의 최대 5배까지 배상 가능하다. 다만 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 적용되지 않는다. 이 조항으로 해당 제도는 지난 10년 동안 한 번도 인정되지 않아 비판받았다.
△'정보 유출' 불안감에 이커머스 업계도 근심
이커머스 업계는 이번 사건으로 업계 전체에 대한 불신을 우려한다. 지난달 29일 G마켓에서 모바일 교환권 무단 결제 사고가 발생했다. 피해자 규모는 60여 명으로 피해 금액은 1인당 약 3만 원~20만 원이었다. G마켓은 이번 사고에 대해 외부에서 불법으로 수집한 개인정보를 활용해 로그인한 후 결제한 수법으로 추정한다. 동일 계정을 여러 사이트에서 사용하는 관행을 악용한 도용 범죄라는 설명이다. 그러나 해당 사고가 쿠팡의 유출 사태와 맞물리면서 고객들의 불안감이 쉽게 사라지지 않고 있다.
이커머스 업계는 보안 강화로 소비자 신뢰 찾기에 나서고 있다. SSG닷컴은 해외·새로운 환경 로그인 알림을 ‘로그인 알림 미동의’ 고객까지 확대해 제공한다. 또 비밀번호 변경 캠페인과 이커머스 해킹 피해 악용 스미싱·피싱 주의 사항을 알리는 공지 사항을 게시했다. G마켓도 비밀번호 변경 권고 캠페인과 로그인 추가 인증 절차 확대 등을 진행했다.
△대규모 유출 사태…이용자 안전 관리 방법은
대규모 개인정보 유출에 따라 이를 악용한 스미싱·보이스피싱 등 2차 피해에 대한 우려가 커지고 있다. 한국인터넷진흥원(KISA)은 피해보상·환불·조회 등을 사칭한 스미싱과 보이스피싱 시도가 증가할 수 있다고 경고했다.
대표적 수법은 긴급 앱 업데이트, 피해보상 신청, 환불 등을 안내하는 문자를 보내 악성 URL로 피싱 사이트 접속이나 악성 앱 설치를 유도하는 방식이다. 피해 사실 조회 등의 키워드를 이용해 검색광고에 피싱 사이트를 노출하거나, 전화로 유출 사실 통보를 가장해 원격제어 앱 설치를 요구하는 유형도 있다. 소비자는 우선 기본 보안 설정을 강화해야 한다. 비밀번호 변경, 2단계 인증 설정, 스미싱 필터링 기능 활성화가 첫 단계다. 출처가 불분명한 문자 속 URL은 클릭하지 말고 삭제해야 하며, 의심 문자는 카카오톡 채널 보호나라의 스미싱·피싱 확인서비스에서 신고·확인이 가능하다. 정부·금융기관은 원격제어 앱 설치를 요청하지 않는다는 점도 명심해야 한다.
정부와 금융당국은 이번 사고와 관련해 2차 피해 모니터링을 강화하고 대응 안내를 확대하고 있다. 쿠팡 계정 탈퇴는 앱·웹의 ‘내 정보관리’ 메뉴에서 가능하며 계정을 유지하되 와우 멤버십 등 유료 서비스만 해지하는 것도 가능하다.
△쿠팡, 신뢰 회복과 체질 개선 과제 남아
쿠팡의 사태는 내부 보안 관리 전반의 취약성을 드러냈다는 평가다. 정보보호 업계에서는 쿠팡이 빠른 성장 과정에서 내부 통제·위기 대응 체계를 충분히 갖추지 못했을 가능성을 지적한다. ISMS-P 등 인증을 취득했더라도, 실제 운영 단계에서 관리 허점이 발생할 수 있다는 설명이다.
전문가들은 쿠팡이 AI 기반 보안 솔루션 도입, 데이터 접근 권한 통제 강화, API 거버넌스 재정비 등 기술적·관리적 조치를 병행할 필요가 있다고 본다. 특히 내부자의 비정상 접근을 탐지할 수 있는 모니터링 시스템과 이상 징후에 즉시 대응하는 체계 구축이 핵심 과제로 꼽힌다.
소비자 보호와 신뢰 회복도 중요한 과제다. 과거 SK텔레콤이 대규모 해킹 사고 이후 요금 감면·데이터 제공 등 보상안을 마련했던 사례처럼, 쿠팡도 피해 고객에 대한 보상 방안을 검토해야 할 것이다. 사고 발생 시 신속한 조치를 통해 2차 피해를 최소화할 필요도 있다. G마켓은 최근 무단 결제 사고 당시 관련 IP 차단과 결제 보안 강화를 통해 추가 피해 확산을 막았다.
조직 문화 개선 역시 정책적 과제로 꼽힌다. 성장 중심의 운영 체계를 넘어, 정기적인 보안 점검과 내부 직원 대상 보안 교육을 강화할 필요가 있다. 이번 사태는 단순한 개인정보 유출에 그치지 않고 플랫폼 기업의 보안 수준과 위기 대응 역량을 재점검해야 한다는 문제의식을 불러왔다. 향후 쿠팡이 어떤 개선책을 마련하느냐가 소비자 신뢰 회복의 관건이 될 전망이다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
