쿠팡이 내세운 ‘최고 보안’ 국가인증…실상은 ‘있으나마나’

예방보다 사후 제재에 치중
무용론 커진 ‘ISMS-P 인증’
ISMS-P 인증 받은 기업에서만
2020년 이후로 34건 해킹 사태
韓, 정보유출 처벌 수위도 문제
美·EU·日과 비교 땐 솜방망이

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. 사진은 30일 서울 송파구 쿠팡 본사. [이승환 기자]

쿠팡에서 대규모 개인정보 유출 사고가 터지자 국내 개인정보 보호 시스템 전반에 대한 불신이 일파만파 커지고 있다.

쿠팡은 2021년과 2024년 두 차례에 걸쳐 국가 인증 제도인 ‘ISMS-P(정보 보호 및 개인정보 보호 관리 체계)’를 통과한 기업이지만 인증 이후에만 4번에 걸쳐 개인정보 유출 사고가 발생한 것으로 확인됐다. 인증 취득이 개인정보 안전을 전혀 보장하지 못 한다는 게 드러난 셈이다.

ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 국내 유일의 정보 보호 및 개인정보 보호 관리 체계 인증 제도다.

2018년 과기정통부의 ‘정보 보호 관리 체계 인증(ISMS)’과 개인정보위의 ‘개인정보 보호 관리 체계 인증(PIMS)’을 통합해 만들었다. 인증 대상 기업은 조직 관리, 기술적 보호 조치, 접근 권한 통제, 로그 관리 등 101개 항목을 충족해야 한다.

그러나 인증 취득과 실제 보안 수준 사이의 괴리 탓에 반복된 사고가 발생했다는 지적이 나오고 있다. 쿠팡은 2021년 애플리케이션(앱)을 업데이트하는 과정에서 테스트가 미흡해 개인정보 14건이 새어 나갔다.

사진은 30일 서울 강남구 쿠팡CLS 본사. 2025.11.30 [이승환 기자]

같은 해에는 쿠팡이츠 배달원 13만5000명의 개인정보가 음식점에 그대로 노출되는 사고가 있었다. 지난해에는 판매자 전용 시스템 ‘윙(Wing)’에서 주문자·수취인 정보 2만2000여 건이 다른 판매자에게 잘못 노출됐으며, 올해 6월부터는 해외 서버를 통한 무단 접근으로 고객 계정 정보 3370만건이 유출된 사실이 뒤늦게 드러났다.

이는 비단 쿠팡만의 일은 아니다. 다른 ISMS-P 인증 기업에서도 개인정보 유출 사고가 끊이지 않고 있다. 개인정보위가 장관급 기구로 격상된 2020년 이후 인증을 받은 27개 기업에서 총 34건의 유출 사고가 발생했다. 인증 제도가 사고 예방보다는 ‘서류 기반 적합성 심사’에 치우쳐 있다는 비판이 나오는 이유다.

한 정보 보안 전문가는 “ISMS-P는 문서와 절차 중심 평가 비중이 커 실제 서비스 구조나 내부자 권한 남용, 실시간 침해 징후 같은 위험 요소를 깊이 들여다보기 어렵다”며 “대형 플랫폼은 보안 권한 체계가 매우 복잡한데 인증 과정에서 이를 충분히 검증하기 힘들다”고 꼬집었다.

쿠팡 사태는 한국에서 반복돼온 대규모 유출 사고의 연장선에 있다.

2011년엔 네이트·싸이월드 회원 3500만명의 개인정보가 중국발 해킹으로 유출돼 국내 최대 피해로 기록됐다.

2014년에는 카드 3사(KB국민·NH농협·롯데카드)에서 주민등록번호·카드번호 등 20종 금융정보 약 1억건이 털렸고, 중복을 제외한 실제 피해 고객만 2000만 명에 달했다.

2008년 옥션(1860만명), GS칼텍스(1100만명), 2016년 인터파크(1030만명) 정보 유출도 ‘대형 사고’로 꼽힌다. 지난 4월 발생한 SK텔레콤 유심 정보 2696만건 유출 역시 통신 업계에서 최대 규모였다.

이처럼 사고가 끊임없이 반복되는 현실은 현행 개인정보 보호 체계가 예방이 아닌 ‘사고 후 조사·제재’ 중심이라는 구조적 한계를 드러냈다는 분석이다.

사후 관리 측면에서도 주요 선진국과 비교해 제재 수위가 낮아 기업의 예방 유인이 상대적으로 떨어진다는 의견도 있다.

해외 주요 국가와 비교하면 한국 제도의 구조적 한계는 더 두드러진다. 미국은 한국과 달리 통합 개인정보보호법이 없지만 연방거래위원회(FTC)와 산업별 규제가 강력한 집행력을 갖는다.

FTC는 페이스북(현 메타)의 케임브리지 애널리티카 스캔들을 비롯한 프라이버시 위반에 대해 2019년 50억달러 규모의 과징금을 부과한 바 있다. 미국에서는 데이터를 많이 보유할수록 민사 소송 위험이 커지기 때문에 기업들이 내부 접근 권한과 규정 준수를 한국보다 엄격하게 적용하고 있다.

유럽연합(EU)의 개인정보 규제는 이보다 훨씬 강력하다. 일반개인정보보호법(GDPR)은 서비스 설계 단계에서 개인정보 보호 원칙을 반영하도록 요구하고, 필요한 최소한의 데이터만 수집하도록 제한한다.

사진은 30일 서울 송파구 쿠팡 본사. 2025.11.30 [이승환 기자]

유출 사고가 발생하면 72시간 내에 감독당국에 의무적으로 통지해야 하며, 위반 시 글로벌 매출의 최대 4%까지 과징금이 부과될 수 있다.

2023년에는 메타 아일랜드가 EU 이용자 정보를 부족한 보호 조치 아래에서 미국으로 이전했다는 이유로 12억유로의 벌금을 부과받았았다. SK텔레콤이 올해 개인정보 유출 사고로 부과받은 과징금은 1347억9100만원 수준이었다.

일본은 법 체계가 한국과 유사하지만 내부자 통제는 더 엄격하다.

일본에서는 2023년 마이넘버(주민등록번호 격) 시스템에서 편의점 단말기를 통해 주민표를 출력하려다가 타인의 서류가 잘못 출력되는 사고가 여러 차례 발생하며 시스템 관리 부실이 드러났고, 이를 계기로 개인정보보호법(APPI)이 대대적으로 강화됐다.

일본은 해외 제3자에게 개인정보를 이전하려면 해당 국가의 보호 수준, 수신자 조치 등을 명확히 설명하고 당사자의 동의를 받도록 하는 ‘옵트인’ 원칙을 적용하며, 기업은 개인정보 취급 부서와 담당 직원을 제한적으로 지정해야 한다.

또 역할 기반 권한 관리(RBAC), 접근·변경 로그 기록, 정기 리스크 평가, 내부 감사 등을 의무적으로 운영해 내부자 접근을 촘촘하게 통제한다. 국회 정무위원회 소속 한창민 사회민주당 의원은 “개인정보위는 인증 제도를 보완하거나 새로운 예방 제도를 도입할 필요가 있다”고 말했다.

■ 용어 설명 ▶▶ ISMS-P 인증제도 : 과학기술정보통신부와 개인정보보호위원회가 운영하는 정보 보호 및 개인정보 보호 관리 체계 인증 제도. 인증 대상 기업은 조직 관리, 기술적 보호 조치, 접근 권한 통제, 로그 관리 등 101개 항목을 충족해야 한다.