반복되는 이커머스 개인정보 유출… 언제나 “사후약방문”

국내 이커머스 업계 개인정보 유출 사고가 끊이지 않고 있다. 매년 더 정교해지는 해킹 수법과 계정 도용 방식에 비해 플랫폼 사업자들의 예방·대응 체계는 충분히 따라가지 못한다는 지적이 나온다.

최근 쿠팡에서도 개인정보 유출 사고가 터지면서 업계에선 사고 이후에야 대응하는 사후약방문식 보안이라는 비판도 제기된다.

개인정보 유출의 대표적인 사례는 지난 2008년 옥션에서 발생한 개인정보 유출 사건이다. 당시 회원 1800만명 이상의 이름·주소·전화번호·주민등록번호 등 민감 정보가 대거 유출됐다. 지금까지 발생한 가장 큰 전자상거래 개인정보 유출 사고로 남아있다.

옥션은 피해 사실을 확인한 직후 경찰에 수사를 의뢰했지만, 피해자들로부터 대규모 소송이 제기되는 것은 막지 못했다. 법원은 옥션이 당시 기준에서 필요한 보호조치를 취한 것으로 판단해 배상 책임을 인정하지는 않았다.

업계 관계자는 "옥션 개인정보 유출 사고는 업계 전반이 개인정보보호 규제를 강화하는 계기로 작용했지만, 당시 처벌이 강하지 않았다는 점에서 보안 체계 전반에 근본적인 변화를 준 것은 아니라는 평가도 있다"고 설명했다.

2016년에는 북한 소행으로 결론날 만큼의 정교한 인터파크 해킹 사고가 발생했다. 해커는 인터파크 직원에게 가족사진으로 위장한 이메일을 보내 악성코드를 심었고, 감염된 PC를 발판 삼아 내부 공유 서버와 데이터베이스(DB) 관리자 계정에 접근해 회원 1030만명의 정보를 빼갔다.

인터파크는 사고 직후 경찰에 신고했지만, 정작 회원들에게 사고 사실을 알린 것은 약 2주 뒤였다. 이 때문에 '늑장 통보' 논란이 일었고, 방송통신위원회는 40억원대 과징금과 과태료를 부과했다.

티몬에서도 유사한 문제가 반복됐다. 티몬에서는 2011년 개인정보 유출 사고가 발생했지만, 회사는 이를 전혀 인지하지 못한 채 서비스를 운영했다. 이후 2014년 경찰이 다른 해킹 사건을 수사하던 중 티몬 DB가 해커에 노출된 사실을 확인하면서 뒤늦게 사고가 알려졌다. 수년간 침해사고 감지 시스템이 제대로 작동하지 않았다는 사실이 드러나면서 내부 보안 체계의 구조적 문제점이 지적됐다.

업계 다른 관계자는 "대형 플랫폼일수록 계정·결제·이벤트·상품권 등 개인정보가 흩어져 있어 관리 체계가 복잡한데, 이 부분을 정교하게 통합한 보안 시스템은 여전히 부족하다"며 "사고가 반복될 때마다 문제점을 고치기보다는 사후 대응에 집중하는 관행이 있다"고 말했다.

박순원 기자 ssun@dt.co.kr