[서울이코노미뉴스 김보름 기자] 쿠팡에서 3370만개 고객계정의 개인정보가 유출되는 사태가 발생하자 비슷한 유통구조를 가진 다른 이커머스(전자상거래) 업체들에게도 비상이 걸렸다.
쿠팡이 올해 890억원 등 해마다 500억원 넘게 정보보호를 위해 투자해 왔는데도 엄청난 일이 벌어졌다는 점에서 업계의 경각심은 크다.
특히 이번 사태로 쿠팡이 부과 받을 과징금 규모를 놓고도 벌써부터 논란이 이어지고 있다.
2023년 개정된 개인정보보호법은 매출액의 3%까지 과징금을 부과할 수 있도록 규정하고 있다.
지난 4월 개인정보 유출 사고가 발생한 SK텔레콤은 1347억9000만원의 과징금을 부과받았다.
이번에 유출된 정보는 이름, 이메일, 전화번호, 배송지 주소뿐 아니라 일부 주문 내역까지 포함돼, 단순한 통신사 정보 유출보다 피해 범위와 파장이 크다는 분석이 지배적이다. 특히 배송지 정보는 일상생활과 직결돼 스미싱이나 피싱 등에 악용될 가능성이 크다는 것이 전문가들의 지적이다.
따라서 쿠팡이 부과받을 과징금은 수천억원에 이를 것이라는 관측도 나오고 있다.
쿠팡은 유통업계에서 정보기술·정보보호에 가장 큰 규모로 투자하는 기업이다.
한국인터넷진흥원(KISA)에 따르면 쿠팡은 올해 정보기술에 1조9171억원, 이 가운데 정보보호 부문에 890억원(4.6%)을 투자하고 있다.
정보보호 투자 규모는 2022년 535억원, 2023년 639억원, 지난해 660억원 등으로 지속적으로 늘고 있다. 최근 4년간 투자한 규모는 2700억원이 넘는다.
쿠팡의 정보보호 부문 투자액 비중은 삼성전자 다음으로 크다.
업계 관계자는 "대규모 예산을 개인정보보호에 쓰면서도 이번처럼 대규모로 정보가 유출됐는데도 5개월간 유출 사실을 감지하지 못했다는 것이 이해되지 않는다"면서 "경보시스템이 정상적으로 작동하지 않은 것"이라고 말했다.
업계에서는 최근 이커머스 시장에서 글로벌 사업자와의 합작과 협업이 늘어나는 상황도 보안 관리 측면에서 주의가 필요하다는 지적이 제기되고 있다.
올해 G마켓이 알리바바와 합작법인 '그랜드오푸스홀딩스'를 설립한 것이 대표적이다.
특히 알리익스프레스·테무·쉬인 등 'C커머스(중국계 이커머스)' 기업의 국내 진입이 이뤄면서 데이터 접근 범위나 국외 이전 가능성에 대한 소비자 우려도 커지고 있다. 고객 정보가 해외로 유출되면 어디까지 흘러갈지 가늠하기 어려워졌기 때문이다.
공정위는 기업결합을 승인하면서 그 조건으로 국내 소비자 데이터를 기술적으로 분리하고 '국내 온라인 해외직구 시장'에서 상대방의 소비자 데이터(이름·ID·이메일·전화번호·서비스 이용기록·검색이력 등) 공유를 하지 못하도록 했다.
쿠팡의 개인정보 유출이 외부 세력에 의한 해킹보다 인증토큰과 서명키를 이용한 전직 직원 소행에 무게가 실리면서 이커머스 업체들은 내외부 가능성을 모두 고려한 전방위적 점검에 나선 것으로 전해졌다.
접근 권한 관리, 로그 기록, 모니터링 체계 등 기본적 통제 절차를 다시 점검하고 있다는 것이다.
업계 관계자는 "지금으로서는 정확히 어떤 고리에서 정보 유출이 이뤄졌는지 알 수 없는 상황이어서 내부 통제 부분을 포함해 전반적인 점검을 하고 있다"고 말했다.