‘엎친데 덮친’ 쿠팡, 수천억 과징금 위기…이커머스 업체들 “긴급 점검” 비상

국내 이커머스 시장 1위 업체 쿠팡에서 3000만건 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. 사진은 30일 서울 송파구 쿠팡 본사. [연합뉴스]

쿠팡이 3000만개가 넘는 고객 계정 정보 유출 사건으로 수천억원이 넘는 과징금을 부과받을 처지에 몰렸다. 아울러 ‘쿠팡 사건’을 계기로 유사한 유통구조를 가진 다른 이커머스(전자상거래) 업체들에도 보안 비상이 걸렸다.

쿠팡은 정보보호를 위해 해마다 수백억원씩을 투자하고 있는 것으로 전해졌다. 하지만, 사실상 쿠팡 계정 전체아 맞먹을 것으로 추정되는 3000만개 이상의 고객 정보 유출로 과징금 폭탄을 피하기 힘들어졌다.

지난 2023년 개정된 개인정보보호법을 보면 법 위반 시 매출액의 3%까지 과징금을 부과하는 게 가능하다. 실제로 지난 4월 발생한 개인정보 유출 사고로 SK텔레콤은 1347억9000만원의 과징금을 부과받았다.

소비자들은 이번 개인정보 유출에 배송 정보까지 포함된 사실에 불안해하고 있다. 이에 다른 이커머스 업체들도 빠르게 긴급 점검 등 후속 대응에 나섰다.

쿠팡에서 유출된 정보에는 이름, 이메일, 전화번호, 배송지 주소뿐만 아니라 일부 주문 내역까지 포함돼, 단순한 통신사 정보 유출에 비해 피해 범위와 파장이 훨씬 큰 것으로 분석된다. 배송지 관련 정보는 일상생활과 직결되기 때문에 향후 2차 스미싱이나 피싱 등에 악용될 가능성이 크다는 점에서다.

이런 가운데 G마켓(지마켓)은 지난 주말에 자체 긴급 보안점검을 진행하고, 후속 점검 방안을 논의 중인 것으로 전해졌다. SSG닷컴(쓱닷컴) 관계자도 “지난해부터 통신, 금융 보안 사고가 잦아 정기·수시 점검과 내부 통제를 강화한 상황”이라고 말했다.

이커머스 업체들 사이에선 최근 해외 사업자와의 합작이나 협업이 늘어나고 있다는 점에서 보안 강화 필요성을 들여다보고 있다.

특히 지마켓이 올해 알리바바와 합작법인 ‘그랜드오푸스홀딩스’를 설립한 사례처럼 국내 기업과 해외 플랫폼의 결합 속에 고객 정보가 해외로 유출될 가능성이 커졌다는 것이다. 이 경우만 하더라도 합박법인을 통해 정보가 유출되면 어디까지 흘러갈지 가늠하기 어려워졌다는 지적이 나온다.

공정위는 기업결합을 승인 조건으로 국내 소비자 데이터를 기술적으로 분리하고, ‘국내 온라인 해외직구 시장’에서 상대방의 소비자 데이터(이름·ID·이메일·전화번호·서비스 이용기록·검색이력 등) 공유를 금지했다. 하지만, 해외직구 이외 시장에선 소비자들이 데이터 공유 여부를 선택할 수 있도록 했다.

여기에다 최근 알리익스프레스·테무·쉬인 등 ‘C커머스(중국계 이커머스)’ 기업의 국내 진입이 이뤄진 상황이어서 데이터 접근 범위나 국외 이전 가능성에 대한 소비자 우려가 더욱 커지고 있는 상황이다.

특히 이번 개인정보 유출이 기존 업체들에서 발생한 외부 세력에 의한 해킹보다 인증토큰과 서명키를 이용한 전직 직원 소행에 힘이 실리면서 전방위적인 점검이 이뤄지는 분위기다.

한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 올해 정보기술에 1조9171억원, 이중 정보보호 부문에 890억원(4.6%)을 각각 투자하고 있다.

쿠팡의 정보보호 부문 투자액 비중은 삼성전자와 KT 다음으로 크다.

이에 대해 업계에선 “대규모 예산을 개인정보보호에 쓰면서도 이번처럼 대규모로 정보가 유출됐는데도 5개월간 유출 사실을 감지하지 못했다는 것이 이해되지 않는다”며 “경보시스템이 정상적으로 작동하지 않은 것”이라고 지적했다.

박양수 기자 yspark@dt.co.kr