CloudPNG

ºC

logo
IT/바이오

쿠팡 3370만 계정 유출 파문 확산…보안 투자와 규제 논쟁 점화

박선호 기자
입력

대형 이커머스 플랫폼 쿠팡에서 최대 3370만개 계정 정보가 유출된 정황이 드러나면서 국내 온라인 플랫폼 보안 체계 전반에 대한 우려가 커지고 있다. 단일 사업자에서 발생한 것으로는 역대급 규모의 사고로, 대규모 고객 데이터를 보유한 플랫폼 산업 전반에 데이터 보호 의무를 한층 강화해야 한다는 목소리가 나온다. 업계에서는 이번 사안을 클라우드 기반 커머스와 핀테크를 아우르는 데이터 보안 경쟁의 분기점으로 보는 시각도 제기된다.  

 

쿠팡은 최근까지 4536개 계정 정보가 유출된 것으로 파악된다고 밝혀 왔다. 그러나 정부 조사 과정에서 실제로는 약 3370만개 이상의 계정 정보가 외부에 노출된 것으로 추정되면서 사태의 심각성이 부각됐다. 정보보호 업계에서는 “단일 침해 사고로 파악되더라도, 노출 규모가 수천만건 수준이라면 사실상 국가 단위의 개인정보 인프라가 흔들린 것과 비슷한 파급력을 가지게 된다”고 진단한다.  

쿠팡 대표 박대준은 15일 정부서울청사에서 공식 사과 입장을 내고 “이번 사태로 인해서 피해를 입으신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 죄송하다”고 말했다. 이어 “이번 정부 합동조사에 최대한 적극적으로 협조해 이 사태가 빠르게 진정될 수 있도록 최선의 노력을 다하겠다”고 밝혔다. 플랫폼이 보유한 데이터의 양과 중요성이 커진 상황에서, 최고경영자의 직접 사과와 대정부 협조 약속은 책임성 강화를 위한 최소한의 조치로 해석된다.  

 

현재까지 확인된 유출 항목은 이름, 이메일 주소, 배송지 주소록에 포함된 입력 이름과 전화번호, 주소, 그리고 일부 주문정보다. 이는 전자상거래 서비스 운영에 필요한 기본 식별 정보이자, 마케팅과 추천 알고리즘, 물류 자동화 등 다양한 IT 인프라에 연동되는 핵심 데이터다. 전문가들은 계정 정보가 다크웹 등에 유통될 경우 스미싱, 스팸 발송, 계정 탈취 시도, 타 플랫폼 계정 연동 공격 등 2차 피해로 이어질 수 있다고 보고 있다.  

 

쿠팡 측은 결제 정보, 신용카드 번호, 로그인에 사용되는 비밀번호 등은 유출 범위에 포함되지 않았다고 설명했다. 결제 데이터는 국내 전자금융거래법 등 관련 규제를 적용받아 암호화와 분리 보관이 의무화돼 있어, 일반 개인정보보다 상대적으로 강한 보호 장치가 적용되는 구조다. 그럼에도 불구하고 계정 기반 정보만으로도 사용자의 소비 패턴과 생활 동선, 선호도 분석이 가능한 만큼, 데이터 보호의 관점에서는 민감도 높은 정보로 분류해야 한다는 지적이 제기된다.  

 

사고의 구체적 원인과 침해 경로는 정부 합동조사를 통해 추가로 규명될 전망이다. 클라우드 인프라 설정 오류, 내부 접근 통제 미비, 애플리케이션 취약점, 외주 개발 과정에서의 보안 구멍 등 복수의 가능성이 열려 있는 상태다. 정보보호 업계 관계자는 “국내 대형 플랫폼 상당수가 마이크로서비스 아키텍처와 클라우드 네이티브 환경으로 전환하면서, 보안 관리 포인트가 기하급수적으로 늘어난 상황”이라며 “이번 사고도 복합적인 관리 통제 실패와 구조적 취약점이 맞물렸을 개연성이 있다”고 분석했다.  

 

온라인 커머스 플랫폼의 핵심 경쟁력은 방대한 고객 데이터를 기반으로 한 맞춤형 추천, 물류 최적화, 신용평가 등 데이터 분석 역량이다. 쿠팡 역시 로켓배송, 풀필먼트, 광고 기술 등에 고객 행동 데이터를 폭넓게 활용해왔다. 그러나 데이터 활용이 고도화될수록 정보 유출 리스크도 기하급수적으로 커진다. 특정 플랫폼 계정과 배송지 정보, 연락처가 연동되면, 공격자는 표적 피싱 공격에서 성공 확률을 크게 높일 수 있다.  

 

글로벌 시장에서는 대형 IT 플랫폼의 개인정보 유출 사고가 반복되면서 규제가 강화되는 추세다. 미국과 유럽에서는 사고 발생 시 매출액 기준으로 과징금을 부과하고, 일정 규모 이상 침해 사건에 대해 사용자 통지와 재발방지 대책 제출을 의무화하고 있다. 유럽연합의 일반개인정보보호법은 이용자 동의와 목적 제한, 최소 수집 원칙을 엄격히 규정하고, 침해 사고 보고 지연 시에도 제재를 가하는 구조다. 국내에서도 유사한 규정이 존재하지만, 이커머스 플랫폼의 실제 데이터 처리 구조를 전제로 한 세부 가이드라인은 더 보완돼야 한다는 평가가 나온다.  

 

국내 전자상거래 시장은 쿠팡을 비롯해 여러 대형 플랫폼이 경쟁하는 구도다. 각사는 물류센터 자동화, AI 추천, 핀테크 연계 등 IT 투자를 확대하고 있다. 이번 사고로 인해 소비자 신뢰를 확보하는 차원의 보안 투자가 새로운 경쟁 축으로 부상할 가능성이 커졌다. 특히 계정 단위 통합 로그인, 구독 서비스, 간편결제 연계 등 서비스 간 연결이 촘촘해질수록 한 번의 침해 사고가 여러 서비스로 전이될 위험이 크다는 점이 부각되고 있다.  

 

정부 합동조사는 쿠팡 사례를 계기로 국내 플랫폼 전반의 정보보호 실태를 점검하는 방향으로 확장될 수 있다. 개인정보보호위원회와 과학기술정보통신부, 금융당국 등 관련 부처는 사고 원인과 피해 규모를 분석해 과징금 부과, 시정명령, 시스템 개선 권고 등 행정 조치를 검토할 것으로 예상된다. 동시에 침해 사실 통지 절차, 모니터링 의무, 이상 징후 탐지 체계에 대한 제도적 기준을 한층 구체화하는 논의도 가속될 전망이다.  

 

전문가들은 이번 사고를 단발성 보안 이슈가 아니라 플랫폼 산업 구조 재편의 신호로 보고 있다. 한 보안 연구자는 “대형 플랫폼은 이제 통신사, 금융기관 못지않게 국민 생활 전반의 데이터를 쥐고 있다”며 “기술 투자와 편의성 경쟁만큼, 보안 거버넌스와 투명한 사고 공개, 외부 감사를 포함한 통제 구조가 경쟁력이 되는 국면으로 이동할 수 있다”고 말했다.  

 

이번 사태가 실제 제도 개선과 보안 투자 확대, 사용자 권리 강화로 이어질 수 있을지가 향후 관전 포인트로 떠오른다. 산업계는 이번 개인정보 유출 사고를 계기로 대형 플랫폼의 데이터 보호 체계가 실질적인 수준으로 끌어올려질지 주시하고 있다.

박선호 기자
share-band
밴드
URL복사
#쿠팡#박대준#개인정보유출