SKT부터 KT까지 올 한 해 초대형 보안 사고가 연이어 발생하는 가운데, 최근 국내 이커머스 1위 기업인 쿠팡에서도 고객 4500여 명의 정보가 유출되는 일이 발생했다. 연이어 발생하는 해킹 사고에 소비자들을 중심으로 기업들의 개인정보 관리·감독 부실에 대한 불안이 증폭되고 있다. 특히 유통업계의 경우 기본적인 인적사항과 더불어 주문 내역 등 비교적 민감한 데이터를 보유하고 있는 만큼 더욱 철저한 주의가 필요하다는 지적이 나온다.

25일 유통업계에 따르면 최근 쿠팡에서 고객 4500여 명의 개인정보가 유출되는 일이 발생했다. 쿠팡은 지난 20일 고객에게 “11월 18일, 고객님의 개인정보가 비인가 조회된 것으로 확인됐다”라고 문자 메시지를 보내며 이 같은 사실을 알렸다. 그러면서 쿠팡은 “고객 결제와 관련한 정보에 대한 접근은 없었으며 보호되고 있다”라면서도 “쿠팡을 사칭하는 전화와 문자 등에 각별한 주의를 부탁드린다”라고 밝혔다.

조회된 정보는 4535개 계정에 대한 이름과 이메일 주소, 배송지 주소록(전화번호·주소) 그리고 최근 5건의 주문 정보 등이다.

문제는 쿠팡이 정보를 해킹당하고도 이런 사실을 12일간 알아차리지 못했다는 점이다. 국회 과학기술정보방송통신위원장 최민희 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 침해사고 신고서에 따르면 쿠팡은 지난 6일 오후 6시 38분 자사 계정 정보에 대한 무단 접근이 발생했다고 적었다. 그러나 침해 사실은 인지한 시점은 18일 오후 10시 52분이라고 보고했다. 사고 발생 이후 12일 동안 인지하지 못한 셈이다. 심지어 이마저도 “개인정보가 유출됐다”라는 고객의 신고를 받고 알아차린 것으로 알려진다.

쿠팡은 신고서에서 “초기 조사 결과 서명된 액세스 토큰을 악용해 접근한 것으로 추정된다”라고 했다. 그러면서 “무단 접근에 사용된 토큰의 취득 경로를 조사 중이며, 해당 토큰 서명 키 정보는 모두 폐기됐다”라고 밝혔다. 액세스 토큰이란 해커가 고객의 아이디와 비밀번호로 로그인할 때 받게 되는 일종의 짧은 인증 문자열이다.

업계 내부에서는 쿠팡의 경우 그간 정보기술 부문에 막대한 규모의 투자를 해왔던 만큼 이번 사고를 두고 놀랍다는 반응이다. 한국인터넷진흥원(KISA) 정보보호 공시를 보면 쿠팡의 정보기술 부문 투자액은 1조9171억원으로 이중 정보보호 부문에 890억 원(4.6%)을 투자하고 있다. 이는 삼성전자와 KT의 뒤를 이어 국내 기업 가운데 3위에 해당하는 수치다. 투자 규모도 ▲2022년 535억원 ▲2023년 639억원 ▲2024년 660억원 ▲2025년 890억원으로 꾸준히 들려왔다.

한 이커머스 업계 관계자는 “기업들이 보안과 관련한 예산을 늘리고 있음에도 불구하고 해킹 등 관련 기술이 워낙 고도화하며 정보 유출이 잇따르고 있는 것 같다”라고 말했다.

한편, 쿠팡은 현재 과학기술정보통신부와 KISA, 개인정보보호위원회와 함께 사고의 정확한 경위에 대해 들여다보고 있다. 현재까지는 알려진 것 이상의 추가 피해는 없는 것으로 전해진다.

이렇듯 쿠팡에서 대규모 정보 유출이 발생한 가운데, 최근 쿠팡 외에도 다수 기업의 고객 정보가 유출되는 일이 발생하며 소비자들의 불신이 커지고 있다.

대표적으로 올 1월 해킹 공격을 받은 GS리테일은 편의점 홈페이지에서 약 9만명의 개인정보가 유출된 데 이어 2월에는 홈쇼핑과 웹사이트에서 158만건의 개인정보가 추가 유출됐다. 또 디올, 까르띠에, 루비통, 티파니 등 명품 브랜드에서도 올해 연속적으로 개인정보가 유출됐다. 이외에도 지난 6월에는 온라인서점 예스24(YES24)가 랜섬웨어의 공격을 받아 홈페이지를 비롯해 스마트폰 앱 접속이 중단된 바 있다.

연이어 발생하는 해킹 사고에 소비자들의 불안감도 덩달아 고조되고 있다. 김우현(28)씨는 “지난 예스24 해킹으로 예매했던 공연을 보러 가지 못할 뻔해 마음을 졸였었는데 이번에는 평소 매일같이 사용하는 쿠팡에서 이런 사고가 발생해 당황스럽다”라며 “이런 일이 발생할 때마다 다음에는 또 어디서 이런 일이 터질까 하는 생각이 든다”라고 말했다.

특히, 유통기업의 경우 개인정보와 더불어 결제·검색 데이터 등 보다 사적인 정보들도 보유하고 있는 만큼 이에 따른 소비자 불만도 제기된다.

이를 두고 전문가들은 소비자도 정보 유출 사고에 대한 경각심을 가지는 동시에 적극적인 대응이 필요하다고 강조한다.

최철 숙명여대 소비자경제학과 교수는 “정보 관리는 전적으로 기업의 책임”이라면서도 “최근 워낙 관련 사고가 비일비재한 만큼 자신의 개인정보가 언제든 3자에 유출돼 불법적으로 사용될 수도 있음을 인지하고 이에 대해 경계하는 태도가 필요하다”라고 설명했다.

그러면서 “만약 피해가 발생한다면 해당 기업에 적극적으로 대응하는 자세가 필요하다”라며 “소비자 스스로가 문제를 가볍게 넘겨버린다면 기업은 소비자들의 행동에 따라 향후 또다시 개인정보 보호나 재발 방지에 소홀히 하는 상황이 발생할 것”이라고 덧붙였다.

정부도 대응에 나선다. 지난 5일 송경희 개인정보보호위원장은 정부서울청사에서 진행된 기자간담회에서 “심각한 사고가 발생하거나 반복적으로 개인정보 유출이 일어나는 등 국민의 기본권을 침해할 만한 행위에 대해서는 강력히 처벌하겠다”라고 밝혔다.

그러면서 “하나의 정책 방안으로 만들어두고 막 시작하는 단계”라면서도 “직접 구제보다는 피해를 막고, 피해 구제를 위해 노력하고 있는 개인을 도와주는 차원에서의 인프라 기능을 강화해야 한다”라고 했다.

한편, 개인정보보위원회는 지난 9월 개인정보 유출 사고를 반복하는 기업에 과징금을 기존보다 무겁게 부과하는 반면, 개인정보보호를 위해 노력한 기업에는 인센티브를 준다는 내용을 담은 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.