[뉴스토마토 이혜현·이수정 기자] 국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 대규모 개인정보 유출 사고가 발생하면서 허술한 보안관리 체계가 수면 위로 드러났습니다. 이번 사고는 지난 4월 SK텔레콤이 해킹으로 2324만명의 고객 정보가 털린 사건을 훌쩍 넘는 수치로 사실상 쿠팡의 전 회원 계정이 뚫린 사상 최대 규모의 보안 사고입니다.
무엇보다 해외 서버를 통해 무단으로 개인정보에 접근한 최초 시점을 5개월이 지나서야 파악한 데다 내부 소행 가능성도 제기되면서 쿠팡의 보안 관리도 도마 위에 오를 전망입니다. 아울러 쿠팡이 이상 징후 발견 이틀 뒤인 지난 20일 1차 발표에서 약 4500명의 배송지 정보가 비인가 접근으로 노출됐다고 밝혔으나 추가 조사 결과 이후인 29일 정밀 재조사 결과 3370만명의 개인정보 유출을 확인했다고 입장을 바꾸는 등 축소 발표 논란도 거세지고 있습니다. 또한 이를 악용한 스미싱·보이스피싱 등 2차 피해가 우려되고 있습니다.
쿠팡은 2021년과 2024년 두 차례나 ISMS-P 인증을 받았지만, 지금까지 총 네 차례의 유출 사고를 냈습니다. 한창민 사회민주당 의원이 개인정보보호위원회에서 받은 자료에 따르면 2020년과 2021년, 2023년에 각각 유출 사고가 있었습니다. 문제는 ISMS-P라는 국가 개인정보 보호 인증을 두 번이나 받은 뒤에도 비슷한 유형의 개인정보 유출 사고가 이어졌다는 것입니다. 쿠팡에서 비슷한 유형의 개인정보 유출 사고가 반복되고 있음에도 보안관리 시스템이 개선되지 않은 배경에는 국내 1위 이커머스 기업이라는 위상과 매출 규모에 걸맞지 않은 보안 시스템에 대한 쥐꼬리 투자, 허술한 위기관리, 윤리경영 의식 부재 등이 지적됩니다.
쿠팡은 국내 시장에서 수십조에 달하는 연 매출을 거두고 있음에도 정작 정보보안 시스템 부문에 대한 투자액은 전체 매출액의 1%에도 미치지 못하는 것으로 드러났습니다. 쿠팡 모기업인 미국 쿠팡Inc의 올해 3분기 매출은 12조8455억원에 달합니다. 올해 누적 매출은 총 36조3094억원으로 작년 연 매출 40조원를 넘어 50조원 돌파도 가시화된 상황입니다. 한국인터넷진흥원(KISA) 공시에 따르면 올해 쿠팡이 정보보호 부문에 투자한 금액은 889억7977만원으로 나타났습니다. 매출액에서 정보보호 투자 금액이 차지하는 비중은 고작 0.24%에 불과합니다. 이는 아마존, 알리바바 등과 같은 글로벌 이커머스 기업들이 연 매출의 1.5% 안팎의 금액을 정보보안에 투자하고 있는 것과 비교되는 부분입니다.
4년간 정보보호 투자 비중 '감소세'
최근 4년간 쿠팡의 정보기술 투자액 중 정보보호 부문이 차지하고 있는 비중도 계속 줄어들어 보안 시스템 관리 허점을 자초한 것이 아니냐는 비판도 나옵니다. 정보기술 투자액에서 정보보호 부문이 차지하는 비중은 2022년 7.1%에서 2023년 6.9%로 줄었고, 지난해에는 5.6%였습니다. 올해는 4.6%로 3년 새 2.5%포인트 감소했습니다.
쿠팡의 안일한 사고 대응도 집중포화를 받고 있습니다. 쿠팡 고객 정보 유출 사태와 관련해 지금까지 드러난 경위를 살펴보면 피의자는 내부에서 인증 업무를 담당했던 중국 국적의 퇴사 직원으로 지난 6월부터 외국 서버를 통해 개인정보가 유출됐음에도 쿠팡은 5개월가량 사고를 인지조차 하지 못했죠. 피의자는 쿠팡 측이 제때 갱신하거나 폐기하지 않은 액세스 토큰 서명키를 통해 퇴사 후 범행을 저지른 것으로 파악됐습니다. 회원들의 보안 인증 체계를 방치한 쿠팡의 총체적 조직관리 문제점이 이번 사고의 원인이 된 것입니다. 또한 경찰 수사 결과 쿠팡은 '회원들의 개인정보를 보유하고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다'는 협박 메일까지 받은 것으로 알려져 내부 접근 권한 관리 허점의 낱낱이 드러났습니다.
사태의 심각성에도 쿠팡은 카드번호 등 결제 정보가 유출되지 않았다는 해명을 내놔 사건의 피해 규모를 축소 시키고 있다는 비판을 받고 있습니다. 무단으로 유출된 고객 정보에는 이름과 전화번호, 배송지 주소, 현관 비밀번호 등 민감한 개인정보들이 포함돼 보이스피싱, 스미싱 등 각종 2차 범죄에 악용될 소지가 있습니다.
"2차 범죄 악용 대비해야"
유출된 개인정보가 2차 범죄에 악용되지 않도록 하는 게 정보보안 대응책 마련보다 시급하다는 지적도 나왔습니다. 이종우 아주대학교 경영학부 겸임교수는 "이미 문제가 불거진 상황인 만큼 범죄 악용으로 이어지는 고리부터 끊는게 최우선"이라며 "투입된 외부 보안 전문가를 중심으로 문제를 면밀히 살펴야 한다"고 말했습니다. 이어 "특히 이번 사건에서 쿠팡이 보여준 보안 취약에 대한 늦장 대응, 피해 발표 번복 등으로 소비자 신뢰가 무너졌을 것"이라며 "지금처럼 문제가 폭로되는 형태가 아닌, 기자회견 등을 통해 구체적인 수습 방안과 피해 상황 발표를 서둘러야 하는 시점"이라고 강조했습니다.
중국인 직원의 정보 유출 소행으로 문제를 축소하려는 쿠팡에 대한 비판도 제기됩니다. 김승주 고려대학교 정보보호대학원 교수는 "이번 사건은 해고에 앙심을 품은 중국인 엔지니어가 자신이 보유한 주요 키 접근 권한을 이용해 수개월에 걸쳐 고객 인증토큰을 생성하고 고객 정보를 수집한 사건"이라며 "쿠팡은 주요 키들이 접근할 수 있는 직원이 퇴사했음에도 이를 리셋하지 않았고, 정상 사용자로 위장한 채 수개월간 지속적 비정상적 크롤링을 탐지하지 못한 책임을 피하기 어렵다"고 했습니다.
이혜현·이수정 기자 hyun@etomato.com