‘5개월 무방비’ 쿠팡, 왜 개인정보 유출 학습효과 없었나
“기업 처벌만으론 부족…국가 차원 통합 방어망 구축해야”
(시사저널=오유진 기자)
쿠팡의 고객 개인정보 유출 대상이 전 국민 단위로 확대되면서 파장이 일고 있다. 올해 SK텔레콤(SKT), KT, 롯데카드 등 대기업들의 개인정보 유출 사태가 반복됐음에도, 기업들의 '늑장 인지'와 미흡한 대응은 좀처럼 개선되지 않는 모습이다. 기업의 안일한 정보보호 인식과 정부의 솜방망이 처벌이 유출 사고의 반복을 부추긴다는 비판이다.
쿠팡은 11월29일 기준 자사 고객 계정 약 3370만 개의 개인정보가 무단 노출됐다고 공지했다. 쿠팡 측은 "노출된 정보는 고객 이름, 이메일, 전화번호, 주소 등 주문 정보 관련 항목"이라며 "현재까지 조사에 따르면 지난 6월24일부터 해외 서버를 통해 정보가 무단 노출된 것으로 추정된다"고 밝혔다. 11월18일 개인정보 외부 유출을 최초 신고한 지 불과 9일 만에 피해 규모가 7500배 폭증한 것이다. 쿠팡 측은 지난 5개월간 개인정보가 무단 노출되고 있었음에도 피해 사실을 알아채지 못한 만큼 관리 부실 책임을 피하기 어려운 상황이다.
국내 최대 유통 플랫폼인 쿠팡까지도 개인정보 유출 대상이 되면서, 올해만 주요 기업에서 10건이 넘는 개인정보 침해가 확인됐다. 이에 과학기술정보통신부는 지난 30일 민관합동조사단을 꾸려 진상조사에 착수함과 동시에 향후 3개월간 인터넷상 개인정보 유·노출 및 불법유통 점검 기간으로 운영하겠다고 밝혔다.
정보보호 투자 비중 줄인 쿠팡…업계 흐름과 역행
기업발 정보 유출 사태가 반복되는 이유로는 각 기업에서 보안 영역을 비용으로 인식하는 현실이 꼽힌다. 고도화되는 해킹 수법과 달리 수익성을 좇는 기업들은 정보보호 투자를 축소하는 추세다. 쿠팡 또한 지난 2022년부터 정보기술(IT) 투자액은 늘렸지만, IT 투자 대비 정보보호 부문의 투자 비중은 오히려 줄여왔다. 한국인터넷진흥원(KISA)에 따르면, 2022년 7.1%였던 쿠팡의 정보보호 투자 비중은 2023년 6.9%, 2024년 5.6%, 2025년 4.6%로 점차 낮아졌다. 정보보호 공시 대상 기업들이 정보보호 투자 비중을 매년 늘리는 흐름과는 정반대다.
정부 처벌과 피해보상 역시 여전히 실효성이 부족하다는 지적이다. 정부는 잇따른 정보 유출 사태 이후 과징금 수위를 소폭 높였지만, 정작 유출된 정보로 손해를 입는 사용자에게 돌아가는 피해보상은 여전히 미미한 수준이다. 개인정보보호위원회(이하 개보위)는 지난 8월 SKT에 2324만 명(2696만 건)의 개인정보 유출로 과징금 1348억원을 부과했다. 이와 더불어 개보위 분쟁조정위원회는 개인정보 유출 피해자에게 1인당 30만원의 배상금을 지급하라고 통지했지만, SKT는 이를 거부하고 소송을 이어가고 있다.
박소영 국회입법조사처 입법조사관은 보고서를 통해 "정보 유출 피해자들은 개인정보보호법상 집단분쟁조정과 단체소송을 제기할 수 있지만, 대부분 피해금액이 소액이고, 시간과 부담 대비 실익이 적어 구제가 제대로 이뤄지지 않고 있다"며 "디지털 활용이 일상이 된 만큼 개인정보 유출 제재와 피해를 위한 집단소송 등 실질적인 구제 방안이 필요하다"라고 설명했다.
반면 해외에서는 과징금보다 고객 피해보상을 중심으로 제재가 이뤄진다. 미국의 티모바일은 2021년 7660만 명의 개인정보를 유출했을 당시 당국에 1585만 달러의 과징금과 2년간 1575만 달러의 정보보호 투자를 약속했다. 이와 더불어 피해자에게는 총 3억5000만 달러(약 5142억원)를 배상하기로 합의했다. 국가에 납부하는 과징금 규모는 작지만, 한국과 달리 실제 피해를 입은 고객들의 피해 복구에 무게를 실은 것이다.
고도화된 해킹…기업만 탓해선 못 막는다
다만 일각에서는 정보보호의 책임을 기업에만 전가하는 처벌 중심의 접근은 구조적 한계가 있다는 지적도 나온다. 기업이 투자와 사전 예방에 막대한 재원을 투자해도 해킹 수법이 국가 차원으로 고도화되는 상황을 막기는 역부족이기 때문이다. 김민호 성균관대 법학전문대학원 교수(한국인터넷자율정책기구 의장)는 "기업발 정보 유출이 최근 시작된 것이 아니라, 그동안 물밑에서 숨겨져 있던 침해 사실이 이제야 드러나기 시작한 것뿐"이라며 "민간은 물론 공공까지도 해킹의 대상이 되고 있는데, 일부 기업의 안일한 대응만을 문제로 삼는 건 현실과 동떨어진 지적"이라고 말했다.
실제로 기업들은 정보보호를 위해 정부가 마련한 인증 체계를 도입하는 등 적극적인 사전 예방 조치를 취하고 있다. 그러나 새로운 수법을 개발해 공격하는 해커 앞에서는 이같은 예방조차 속수무책인 상황이다. 한창민 사회민주당 의원실에 따르면, 쿠팡은 지난 2021년과 2024년 각각 개보위의 개인정보 관리 체계 인증제도인 ISMS-P 인증을 받았음에도, 이 기간 4건의 유출 사고를 막지 못했다. SK텔레콤, KT, 롯데카드 등 올해 개인정보가 유출된 기업들도 ISMS-P 인증을 확보했지만 사고 방지에는 역부족이었다. 국가가 요구하는 최고 수준의 보안 시스템을 갖춰도 공격을 사전에 막는 건 사실상 불가능하다는 의미다.
올해 해킹 사태를 겪은 한 기업의 관계자는 "정보보호 투자를 늘리고, 인력을 아무리 채용한다 한들 이제 정보 유출은 자연재해처럼 100% 막을 수 없는 상황에 이르렀다"며 "특히 이번 쿠팡 사태처럼 정보보호와 밀접한 연관이 있는 인력이 통제시스템의 취약점을 악용하면 아무리 사전 예방을 강화해도 속수무책"이라고 전했다.
전문가들은 이제 기업 단위가 아닌 국가 단위의 전면적 정보보호 대응 체계가 필요하다고 제언한다. 특히 해킹 사태가 기업과 개인을 넘어 국가 안보 이슈로 확장되는 만큼, 국정원 등 강력한 수사·정보기관에 역할을 분배하는 방식으로 대응책을 마련해야 한다는 지적이다.
김 교수는 "지난 십여 년간 공공은 공공대로, 민간은 민간대로 사이버 안보를 구축해야 한다고 했지만, 지금처럼 개보위가 처벌과 사후 조치에만 머무르는 구조로는 한계가 명확하다"며 "국정원 등 수사·정보 역량을 가진 기관과 민간 기업이 함께 움직일 수 있는 컨트롤타워 구축이 시급하다"고 덧붙였다.
Copyright © 시사저널. 무단전재 및 재배포 금지.