각종 대비에도 4번째 정보유출…쿠팡 '관리부실' 도마 위

(서울=뉴스1) 문창석 기자 = 국내 e커머스 1위 쿠팡이 각종 보안 정책에도 내부 직원에 의해 개인정보가 유출된 점에 대해 관리가 부실했다는 지적이 나온다. 올해 초에는 사이버보안 위협이 회사에 실질적인 영향을 미치지 않았다고 자신하기도 했다.

1일 한창민 사회민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 쿠팡에선 △2021년 10월 △2020년 8월∼2021년 11월 △2023년 12월 등 이전까지 세 차례 정보유출 사고가 발생했다. 이번까지 총 네 차례다.

2021년 10월의 경우 앱 업데이트 중 발생한 오류로 상품 검색창 밑에 고객 14명의 이름·배송지 주소가 1시간가량 노출되는 사고가 발생했다. 또 2020년 8월부터 2021년 11월까지는 쿠팡이츠 배달원 13만 5000여명의 이름·전화번호 등이 음식점에 전송됐고, 2023년 12월에는 쿠팡의 판매자 전용 시스템에서 주문자와 수취인 2만 2440명의 개인정보가 다른 판매자에게 노출됐다.

특히 지난 2021년과 2024년 두 차례 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 인증을 받았음에도 이번까지 네 차례 개인정보 유출 사례가 나왔다는 점에 대한 비판의 목소리가 높다. ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다.

이번 사고를 인지하기까지 5개월이나 걸렸다는 점에 대해서도 비판이 거세다. 쿠팡에 따르면 지난 6월 24일부터 약 3370만 명의 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등 고객 계정 정보가 유출된 것으로 확인됐다. 쿠팡은 이를 11월 18일에야 인지했다는 입장이다.

쿠팡은 지난 2월 미국 증권거래위원회에 제출한 사업보고서의 '사이버보안' 항목에서 "보고서 작성일 기준 사이버 보안 위협으로 인한 위험은 사업전략, 영업실적, 재무상태 등을 포함해 실질적인 영향을 미치지 않았다"고 밝히기도 했다.

당시 쿠팡 측은 해당 보고서에서 △매년 외부의 제3자를 통한 평가 △컨설턴트를 통한 정기적인 정보 보안 프로그램 성숙도 평가 △사이버 사고 대응 및 복구 역량 강화를 위한 훈련 프로그램 등을 운영하고 있다고 강조하기도 했다.

하지만 보고서 제출 4개월 후 3300만 명이 넘는 소비자의 개인정보가 대규모로 유출됐다.

현장 조사를 진행 중인 정부는 쿠팡 서버 인증 체계에 취약점이 있었다는 입장이다.

지난달 30일 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계 부처 긴급회의를 열고 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상 고객 계정을 유출한 것으로 확인했다"고 했다.

정부는 쿠팡의 개인정보보호법상 안전조치의무 위반이 확인되면 엄정하게 제재할 방침이다.

박대준 쿠팡 대표는 지난달 30일 공식 입장문을 통해 최근 불거진 개인정보 유출 사고와 관련해 "국민 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드린다"며 "향후 이러한 사건으로부터 고객 데이터를 더욱 안전하게 보호할 수 있도록 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다"고 밝혔다.

themoon@news1.kr