쿠팡까지 뚫렸다…개인정보 노출 ‘전방위 경보’

쿠팡에서 고객 4500여 명의 개인정보가 외부에 무단 조회되는 사고가 발생하면서 국내 개인정보 보호 체계 전반에 대한 우려가 다시 높아지고 있다. 최근 대형 플랫폼·통신·유통사 등 다양한 업종에서 개인정보 노출 사고가 잇따르며, 기업 차원을 넘어 국가적 수준에서 보호 장치를 강화해야 한다는 요구가 커지고 있다.

쿠팡은 21일 공지를 통해 “지난 18일 제3자가 비인가 접근을 통해 약 4500명 고객 계정의 배송 정보와 최근 주문 5건의 이력을 조회한 것을 확인했다”고 밝혔다.

쿠팡 측은 결제 정보 접근은 전혀 없었고, 시스템 및 내부 네트워크망에서 외부 침입 흔적도 발견되지 않았다고 설명했다.

현재 쿠팡은 비정상 활동을 탐지한 즉시 차단 조치를 완료하고 모니터링을 강화하고 있으며, 사고 경과를 과기정통부·한국인터넷진흥원(KISA)·개인정보보호위원회에 신고하고 조사에 협조 중이다.

쿠팡은 해당 고객들에게 개별 안내를 완료하며 “심려를 끼쳐 드려 죄송하다”고 전했다.

문제는 이번 사고가 ‘온라인 유통 대기업’에서 발생했다는 점이다. 기업 규모와 보안 인프라 수준과 관계없이 개인정보 노출 사례가 반복되고 있다는 점에서, 개별 기업의 관리 문제를 넘어 국내 보안 체계 전반을 점검해야 한다는 지적이 강화되고 있다.

올해 들어 SK텔레콤에서는 약 2000만명 규모 고객 정보 노출 정황이 확인돼 정부 조사가 진행 중이며, GS샵·GS리테일에서도 지난해부터 올해 초까지 약 158만건의 개인정보가 외부 공격으로 노출된 것으로 파악됐다.

올리브영에서도 약 4900건의 계정 로그인 성공 사례로 일부 배송 정보가 노출됐을 가능성이 제기됐다. 보안 전문 기업인 윈스테크넷에서도 1000여 명의 내부 직원 정보가 노출되는 등 업종을 가리지 않고 사고가 이어지고 있다.

개인정보보호위원회 집계에 따르면, 올해 신고된 개인정보 노출 규모는 이미 3000만건을 넘겼고, 최근 5년 누적 규모는 8800만건 이상이다. 사실상 국민 대부분이 한 차례 이상 개인정보 노출 사고와 연관된 셈이다.

전문가들은 사고가 반복되는 원인으로 내부 권한 관리 미흡, 접근 통제 시스템 한계, 외주·협력사 보안 취약, 보안 인력·예산 부족 등을 공통적으로 지적한다. 기술적·관리적 보호조치가 국제 기준에 여전히 미치지 못한다는 평가도 이어진다.

특히 최근 다수의 사례에서 드러난 공통 문제는 ‘실시간 감시 체계의 부족’이다. 쿠팡 역시 ‘탐지 후 차단’을 강조했지만 사전 예방이 가능한 구조였는지는 향후 조사를 통해 가려질 전망이다.

정부 관리·감독 체계 역시 사후 신고·조사 중심이라는 한계가 거론된다. 이에 따라 EU GDPR처럼 매출 대비 비례벌금제를 도입하거나 외주업체 보안 기준 의무화, 침해사고 조사 권한 강화 등 제도 개선 요구가 제기되고 있다.

소비자 보호 역시 시급한 과제로 꼽힌다. 성명·전화번호·주소 등 기본 정보가 노출되면 사칭 문자, 스미싱, 택배 피싱 등 2차 피해로 이어질 가능성이 높은 만큼 위험도 기반 보호 절차 마련이 필요하다는 지적이 나온다.

쿠팡 관계자는 “제3자의 비인가 접근을 즉시 탐지해 차단했으며, 결제 정보 노출이나 외부 침입 흔적은 없는 것으로 확인됐다”며 “현재까지 파악된 경과를 과기정통부와 한국인터넷진흥원(KISA), 개인정보보호위원회에 신고해 조사에 긴밀히 협조하고 있다”고 말했다.

이어 “해당 고객에게 개별 공지를 완료했고, 이번 사안으로 심려를 끼쳐 드린 점 진심으로 사과드린다”며 “앞으로도 고객 개인정보 보호를 위해 최선의 노력을 다하겠다”고 덧붙였다.