유통가 보안 리스크 확산
[토요경제 = 김은선 기자] 국내 1위 이커머스 업체인 쿠팡에서 3370만명의 개인정보가 유출되는 초유의 사태가 벌어지며 유통업 전반에 보안 경고음이 커지고 있다.
 |
| ▲ 쿠팡/사진=연합뉴스 |
쿠팡뿐 아니라 올해 GS리테일, 머스트잇, 디올·티파니 등 명품 브랜드, 파파존스, 아디다스 등 개인정보 유출 사고가 잇따르며 업계의 사이버 보안 수준이 도마에 오르고 있다.
쿠팡은 지난달 29일 고객 계정 약 3370만개 정보가 무단 유출된 사실을 확인했다. 이름과 이메일, 전화번호, 주소, 일부 주문 정보 등이 포함됐으며 공동 현관 비밀번호나 개인통관번호 등 민감 항목까지 새어 나갔는지 여부는 아직 조사 중이다. 쿠팡 관계자 측은 “쿠팡은 사법 기관 및 규제 당국과 지속적으로 협력하고 있다”라는 답변만 반복하고 있다. 다만 현재 SNS에서 돌고 있는 쿠팡 IT인력의 90%가 중국인이라는 소문에는 아니라고 일축했다.
이번 사고는 외부 해킹이 아니라 내부자 악용으로 현재까지 파악된다. 인증 관련 업무를 담당했던 전직 직원이 중국인인 것으로 파악되고 있다. 이 직원이 퇴사 후에도 인증토큰을 이용해 시스템에 접속했을 가능성이 제기되면서 쿠팡의 서명키 관리 부실 문제가 지적되고 있다. 유출은 지난6월부터 이어진 것으로 추정되며 회사가 이를 5개월간 인지하지 못해 피해 범위가 확대됐다.
쿠팡의 보안 문제는 이번이 처음이 아니다. 개인정보보호위원회는 지난 2020년 이후 배달원 개인정보 유출 등으로 세 차례 과징금과 과태료를 부과한 바 있다. 쿠팡의 대응 역시 도마에 올랐다. 유출 사실을 알리는 공지 시점이 고객마다 달라 뒤늦게 문자로 사고를 접한 이용자가 많았고 대표 명의의 공식 사과문도 하루가 지나 공개됐다. 일부 소비자는 계정을 탈퇴하거나 집단소송 절차에 참여하고 있다. 관련 온라인 카페는 10여곳, 누적 회원은 24만명에 달한다.
수사도 본격화했다. 경찰은 쿠팡 측으로부터 서버 로그 기록을 제출받아 분석 중이며 피의자가 사용한 IP를 추적하고 있다. 해외 공조를 병행해 퇴사 후 출국한 것으로 알려진 전 직원의 신원 확인에 나선 상태다.
 |
| ▲쿠팡 건물/사진=쿠팡 |
소비자단체는 강경 대응을 예고했다. 한국소비자단체협의회는 쿠팡에 실효성 있는 대책을 촉구하며 받아들여지지 않을 경우 회원 탈퇴와 불매 운동을 포함한 집단행동에 나서겠다고 경고했다. 참여연대는 징벌적 손해배상과 집단소송제 도입 필요성을 제기하며 구조적 개선을 요구했다.
유통업계에서는 대규모 플랫폼이 보유한 고객 정보의 양과 위험이 커진 만큼 인증·접근권한 체계 전반을 다시 점검해야 한다는 목소리가 높다. 전문가들은 “내부자 통제가 무너지면 어떤 기업도 대규모 사고를 피할 수 없다”고 지적했다.
한편 신생 이커머스 업체인 컬리는 “고객 개인정보와 결제정보를 분리해 관리하고 있다. 결제 승인에 필요한 최소한의 마스킹된 정보만 보관하기 때문에, 일부 시스템에 이상 징후가 발생하더라도 전체 고객의 결제정보가 한 번에 노출되는 일은 거의 발생하지 않는다"고 밝혔다.
토요경제 / 김은선 기자 kes@sateconomy.co.kr
[저작권자ⓒ 토요경제. 무단전재-재배포 금지]
