쿠팡에서 3000만건이 넘는 개인정보가 유출된 사실이 드러나면서 유사한 구조의 이커머스 업계 전반에 비상이 걸렸다. 쿠팡은 매년 수백억원대의 정보보호 투자를 이어왔으나 이번 사태로 인해 매출액의 3%까지 부과될 수 있는 과징금 위험에 직면했다.
2023년 개정된 개인정보보호법은 위반 시 기업 매출액 기준 과징금을 부과하도록 하고 있으며, 지난 4월 개인정보 유출 사고를 겪은 SK텔레콤은 1347억9000만원 과징금을 받은 바 있다. 이번 유출에는 이름, 이메일, 전화번호, 배송지 주소뿐 아니라 일부 주문 내역까지 포함됨에 따라 소비자 불안은 더욱 커지고 있다.
배송지 정보가 포함된 점이 파장 확대의 주요 원인으로 지목된다. 일상생활과 맞닿아 있는 정보 특성상 2차 스미싱과 피싱으로 악용될 가능성이 제기되면서 다른 이커머스 업체들도 긴급 점검에 나선 상태다.
업계에서는 글로벌 플랫폼과의 협업이 늘어난 최근 시장 흐름도 위험 요소로 본다. 지마켓이 알리바바와 함께 설립한 합작법인 그랜드오푸스홀딩스 사례처럼 국내 고객 정보가 해외와 연결될 구조적 환경이 커졌다는 것이다. 공정위가 기업결합 승인 조건으로 국내 소비자 데이터 분리와 일부 영역에서의 데이터 공유 금지를 명시했으나, 해외직구 외 시장에서는 소비자가 선택할 수 있는 구조여서 논란의 여지는 여전하다.
테무·알리익스프레스·쉬인 등이 국내 시장에 안착한 상황도 우려 요인으로 꼽힌다. 소비자 데이터의 국외 이전 가능성은 예측하기 어려운 데다, 접근 범위 관리가 느슨할 경우 위험성이 커질 수 있다는 지적이 크다.
이번 사고가 외부 해킹이 아닌 전직 직원이 인증토큰과 서명키를 이용해 발생한 내부 요인으로 추정되는 점도 업계에 충격을 주고 있다. 대형 플랫폼을 중심으로 접근 권한 관리, 로그 기록, 모니터링 체계 등 기본 통제 절차를 재점검하는 흐름이 빠르게 확산되고 있다.
쿠팡은 국내 유통업계에서 정보기술과 정보보호에 가장 많은 비용을 투자하는 기업으로 꼽힌다. 한국인터넷진흥원(KISA) 자료에 따르면 쿠팡은 올해 정보기술에 1조9171억원, 이중 정보보호에 890억원을 투입했다. 정보보호 투자는 2022년 535억원, 2023년 639억원, 지난해 660억원 등 꾸준히 증가해 최근 4년간 총 2700억원을 넘었다. 정보보호 투자 비중은 삼성전자와 KT에 이어 세 번째로 크다.
신현보 한경닷컴 기자 greaterfool@hankyung.com
