[서울=뉴스핌] 송은정 기자 = 연매출 41조원에 달하는 '유통 공룡' 쿠팡의 대규모 보안 유출 사태에 대해서 예견된 보안 참사라는 지적이 나오고 있다. 쿠팡은 올해에만 정보 기술 부문에 약 1조9171억원, 이 가운데 정보보호 부문에 약 890억원을 투입했지만 대규모 개인정보 유출 사태를 막지 못했다. 

2일 업계에 따르면 쿠팡은 지난 6월 24일부터 최소 5개월간 해외 서버를 통해 무단 접근을 허용하면서, 약 3370만 명의 고객 개인정보가 유출된 것으로 확인됐다. 쿠팡은 그동안 정보기술과 보안 분야에 대규모 투자를 지속해왔다. 2022년 639억원, 2023년 659억원에서 올해는 890억원까지 늘며 유통·이커머스 업계에서는 사실상 최고 수준이라는 평가를 받아왔다. 보안 조직 역시 내부 인력 165.8명, 외주 인력 49명 등 총 214.8명으로 국내 기업 중 최상위권 규모다. 

업계에서는 쿠팡이 정보보호 투자에 신경을 썼음에도 허술한 보안 관리 체계와 내부 관리 실패가 정보 유출 사고를 냈다고 분석하고 있다. 

전문가들은 이번 연쇄 유출 사태의 공통된 원인으로 ▲기업의 내부 권한 통제 ▲로그 관리 ▲비인가 접속 탐지 시스템의 근본적 미비를 꼽고 있다.

이번 사태가 쿠팡의 기본적인 보안 관리 실패에서 비롯됐기 때문이다. 중국 국적의 전 직원이 해외에서 장기간 쿠팡 내부 시스템에 접속해 정보를 빼간 것으로 알려졌다. 쿠팡은 5개월간 이를 전혀 알지 못했다.

쿠팡이 로그인에 필요한 서명키 관리, 다중 인증, 개인정보 마스킹 등 정보기술(IT) 기업의 기본적 내부통제를 지키지 않은 점과 기초적인 보안 관리도 실패, 운영·관리가 총체적으로 부실했다는 지적이다.

◆쿠팡 사태, 산업 전반 보안 관리에 대해 전환점 삼아야

전문가들은 이번 사건에 대해 산업 전체 보안 관리 전환점으로 삼아야 한다고 주장하고 있다. 산업계 전반에서 지난 수년간 정보보호 투자 대비 실질적인 보안 지출이 줄거나 정체된 곳이 많다는 주장이다. 일부 기업은 보안 투자를 줄이는 전략을 택했고, 이는 유출 가능성을 키운 결정적 요인이라는 지적이 뒤따르고 있다.

최경진 가천대 법학과 교수는 "이번 사건을 토대로 일상 속에서의 정보 보호에 대한 기준 설립이 필요하다"라며 "단순히 쿠팡만의 문제가 아니라, 모든 기업에게 적용될 문제"라고 강조했다.

이번 사태로 소비자 불안과 기업 신뢰 붕괴 우려가 커지고 있다. 유출된 정보에는 이름, 전화번호, 이메일 주소, 배송지 정보, 공동현관 비밀번호 등 생활 밀착형 정보가 포함됐다. 주소·전화번호·구매내역이 결합되면 스미싱·피싱·전화사기 등 2차 피해로 이어질 가능성이 높은 만큼 소비자 불안은 쉽게 가라앉지 않는 모습이다.

쿠팡에 대한 집단소송 참여 희망자가 빠른 속도로 증가하고 있다. 그동안 국내 이커머스(전자 상거래) 시장 1위 업체로 자리했던 쿠팡에 대한 소비자 신뢰에도 금이 가고 있다.

전문가들은 "수십만, 수백만 단위의 개인정보가 무방비로 노출된 현실은 소비자의 생활권까지 잠식할 수 있다"며 "단일 기업의 손해를 넘어 산업 전체의 신뢰 기반을 갉아먹을 수 있다"고 짚었다.

특히 "기업은 보안을 선택 아닌 필수 인프라로 재인식하고 내부 통제와 기술 체계를 강화해야 한다"고 덧붙였다.

◆징벌적 손배 제대로 작동해야…전문가들 "정보보호에 대한 기준 설립 필요"

2023년 개정된 개인정보보호법에선 법 위반 시 매출액의 3%까지 과징금을 부과할 수 있다

해외 주요국은 개인정보 유출에 대해 강한 징벌적 규정을 적용하고 있다. 미국에서는 개인정보 유출이 발생하면 대규모 집단소송이 즉시 제기되고, 기업은 대규모 합의금으로 소송을 마무리하는 경우가 대부분이다.

유럽은 사고 발생 72시간 내에 감독기관·소비자에게 피해 사실을 통보해야 하고, 외부 보안 전문기관을 통한 포렌식과 피해자 보호 조치를 의무화하고 있다. 유럽의 개인정보보호법(GDPR)에 따르면 위반 시 전 세계 매출의 최대 4% 또는 2000만 유로 중 큰 금액을 과징금으로 부과할 수 있다.

싱가포르는 연간 국내 매출이 1000만 싱가포르달러(약 113억2980만원) 이상인 법인 등이 개인정보보호법상 개인 정보의 보호, 수집, 사용 및 공개 등에 관한 규정을 어기면 연 매출의 10% 또는 100만 싱가포르 달러(약 11억3298만 원) 중 더 큰 금액을 과징금 상한으로 두는 등 강력한 제재를 운영하고 있다.

현행 개인정보보호법에서는 고의·중과실 유출 시 최대 5배의 징벌 배상을 규정하고 있지만 실제 적용된 판례는 거의 없다. 징벌적 손해배상이 제대로 작동하게 되면 기업들은 스스로 보안 투자에 나설 수밖에 없는 환경이 조성된다.

황석진 동국대 국제정보보호대학원 교수는 "이번 사건은 징벌적 손해배상 제도의 실효성 강화 필요성을 사회적으로 확인시켜 준 계기로, 앞으로 관련 법·제도 개선에 중요한 전환점이 될 것"이라며 "실효성 강화와 함께 혁신과 기업 활동을 저해하지 않는 세밀한 설계가 병행돼야 한다"고 설명했다.

yuniya@newspim.com