4번째 개인정보 유출 쿠팡, 모두 내부사고...과징금 고작 16억

쿠팡 개인정보 유출 사례/그래픽=김지영

급성장한 이커머스(전자상거래) 플랫폼 쿠팡이 최근 반복된 개인정보 노출·유출 사고로 또다시 도마 위에 올랐다. 연매출이 41조원을 넘길 만큼 가파른 성장세를 보여왔지만 내부 보안 체계는 여전히 글로벌 수준에 미치지 못한다는 지적이다.

1일 관련업계에 따르면 쿠팡은 2020년 배달원 정보 노출을 시작으로, 2021년 고객 정보 노출, 2023년 주문자·수취인 정보 유출 등 총 3차례의 개인정보 사고를 겪었는데 모두 내부 원인에 의해 발생했다. 이 과정에서 낮은 수위의 제재를 받으면서 과징금·과태료 등이 총 16억원에 그쳤다. 업계에서는 "사고 성격상 결코 가볍지 않았는데 제재가 단발성에 머물며 구조적 개선으로 이어지지 못한 것"이라는 진단이 나왔다

보안업계 관계자도 "사실상 쿠팡에 가입된 계정 대부분에서 개인정보가 노출된 셈인데, 외부 공격이 아니라 내부자의 접근 문제에서 발생했다면 이는 회사와 구성원들의 보안 의식이 전반적으로 미비했다는 뜻"이라며 "통신업계에서 발생한 초대형 사고와 비교해도 규모가 큰 편인데 쿠팡의 경우 사고 인지까지 긴 시간이 걸린 점은 내부 모니터링 체계 자체가 취약했다는 점을 보여준다"고 강조했다.

쿠팡이 매년 정보보호에 대한 투자를 매년 늘려왔지만 매출 증가 속도를 따라가지 못했다는 관측도 제기되고 있다. 한국인터넷진흥원(KISA)에 따르면 쿠팡의 지난해 정보보호 투자액은 약 860억원으로 국내 기업 중 3위에 해당되는 규모다. 하지만 글로벌 주요 IT 기업과 비교하면 여전히 절반 수준에 불과하다는게 업계의 분석이다. 게다가 매출 대비 투자 비중은 하락세를 보였다. 2022년 7.1%였던 정보보호 투자 비중은 2023년 6.9%, 지난해 5.6%까지 내려왔다.

이번에 내부 통제의 허점도 드러났다는 의견도 있다. 한 개발업계 관계자는 "해외 서버에서 접근이 발생했다고 설명하지만 이는 단순 '노출'이 아니라 사실상 '유출'로 봐야 한다"며 "내부 직원이 해외망을 통해 접근했다면 접근 이유와 해당 로그가 사전에 관리되고 있었어야 하는데, 이번 사고를 보면 그 기본 체계가 제대로 작동하지 않은 것으로 보인다"고 평가했다. 또다른 개발자도 "3700만명의 정보를 일일이 수기로 빼돌렸다고 보기 어렵고 결국 시스템적으로 대량 접근이 가능했다는 의미"라고 전제한 뒤 "이를 내부 모니터링에서 포착하지 못했다는 건 납득하기 어렵다"며 "대량 다운로드나 비정상 서버 접속은 대부분 기록이 남는데, 이를 실시간으로 감지하는 체계가 부족했다는 방증"이라고 비판했다.

전문가들은 쿠팡의 보안 문제가 기술적 결함만이 아니라 내부 거버넌스의 문제라고 보는 분위기다. 서비스 확장 속도가 빨라진 만큼 복잡해진 시스템 구조를 뒷받침할 통제 체계가 갖춰지지 않았다는 것이다. 한 정보보호 전문가는 "쿠팡은 글로벌 시장을 목표로 하는 만큼 글로벌 스탠다드에 맞는 보안 지배구조 확립이 필수적"이라며 "접근 권한 관리와 로그 분석, 사고 탐지 프로세스 등 기본적인 보안 관리체계부터 재정비해야 한다"고 말했다.

하수민 기자 breathe_in@mt.co.kr