[이코노미스트 강예슬 기자] 전자상거래(이커머스) 업계 전반에 위기감이 확산하는 모습이다. 국내 1위 이커머스 업체인 쿠팡에서 3000만건이 넘는 대규모 개인정보가 유출되면서다.

쿠팡에 이어 G마켓에서도 무단 결제 사고가 발생하면서 주요 이커머스 플랫폼의 보안 수준에 대한 신뢰가 흔들리고 있다. 반복되는 대규모 보안 사고를 근본적으로 방지하기 위해서는 기업뿐 아니라 정부와 개인 소비자 등 사회 전체의 보안 인식과 시스템을 근본적으로 개선해야 한다는 지적이 나온다.

믿었던 ‘유통 공룡’의 배신

쿠팡은 국내 이커머스 플랫폼 가운데 사용자가 가장 많다. 애플리케이션(앱)·결제 데이터 기반 시장분석업체 와이즈앱·리테일에 따르면 올해 11월 기준 쿠팡의 월간 활성 이용자 수(MAU) 수는 약 3440만명으로 나타났다. 

종합쇼핑몰 앱 중 1위로, 2위인 알리익스프레스(992만명)의 3.5배 수준이다. ▲11번가(881만명) ▲테무(793만명) ▲G마켓(685만명) 등이 뒤를 이었다.

쿠팡은 지난 11월 29일 약 3370만개 계정의 개인정보가 무단으로 유출됐다고 밝혔다. 노출된 정보는 ▲이름 ▲전화번호 ▲배송지(주소) ▲이메일 주소 ▲일부 주문 정보 등이다. 

지난 11월 18일 쿠팡이 발표한 피해 규모는 4500건이었으나, 9일 만에 7500배 불었다. 사실상 모든 쿠팡 이용자의 정보가 외부로 빠져나간 것으로 보인다. 

쿠팡의 개인정보 유출 규모는 올해 2324만명이 피해를 본 SK텔레콤의 유출 사고를 훌쩍 뛰어넘는다. 한국 성인 4명 중 3명의 개인정보가 노출된 셈이다.

쿠팡 사태 이후 다른 국내 주요 이커머스 플랫폼도 일제히 긴급 보안 점검에 나섰다. G마켓(지마켓)은 지난 주말 자체 긴급 보안 점검을 시행하고, 개인정보 보호 강화 방안을 마련했다. 배달의민족을 운영하는 우아한형제들은 개인정보 노출 영역을, 무신사는 암호화된 회원 정보 보안 시스템을 재점검했다.

국내 이커머스 시장에서 쿠팡과 양강 구도를 형성한 네이버도 쿠팡의 개인정보 유출 사태 이후 이상거래 탐지 시스템(FDS) 모니터링을 강화하고 개선 중이다. 

네이버 관계자는 “네이버 커머스(쇼핑)의 경우 내부 전담 보안 인력을 두고 서비스 설계부터 운영 등의 과정에서 보안 취약점 등의 문제점을 검토 및 대응하고 있다”며 “개인정보 무단 열람 예방 조치와 함께 상시 모니터링을 수행 중”이라고 설명했다.

“쿠팡 사태, ‘타산지석’ 삼아야”

문제는 대형 보안 사고가 반복적으로 발생하고 있다는 점이다. 쿠팡이 대규모 정보 유출 사실을 알린 지난 11월 29일 지마켓 회원 60여명은 계정이 도용돼 무단 결제 피해를 봤다고 금융감독원에 신고했다. 금융당국은 긴급 현장점검에 착수했다.

지마켓 관계자는 “긴급 보안 점검 결과 시스템 해킹 흔적을 발견하지 못했다”면서 “외부에서 유출된 고객 정보가 도용된 것으로 추정된다”고 전했다.

쿠팡발(發) 보안 우려가 확산하는 가운데 이번 사고를 단일 기업 문제로만 치부하지 않고 사회 전반의 보안 시스템을 점검하는 계기로 삼아야 한다는 주장도 제기된다.

그동안 쿠팡은 자사 정보보안 체계에 자신감을 보여왔다. 앞서 회사는 미국 증권거래위원회(SEC)에 제출한 사업보고서를 통해 ‘사이버 보안 위협이 앞으로 기업에 중대한 영향을 끼칠 가능성이 없다’라고 밝힌 바 있다.

그러나 이번 개인정보 유출 사태를 통해 쿠팡 내부 시스템에 치명적인 문제가 있음이 적나라하게 드러났다. 비정상 로그인 등읠 예방하기 위한 FDS가 제대로 작동하지 않은 것이다.

과학기술정보통신부(과기부)에 따르면 쿠팡은 해킹 공격자가 5개월간(2025년 6월 24일~11월 8일) 비정상 접속으로 고객 계정 내 정보를 침탈했음에도 인지하지 못했다. 회사가 이런 사실을 인지한 것은 지난 11월 16일 개인정보 유출 관련 협박을 받은 고객이 민원을 접수한 덕분이다.

쿠팡의 정보보호 부문 투자 규모를 고려하면 이해하기 힘든 상황이다. 쿠팡이 최근 3년(2023~2025년)간 정보보호 부문에 투자한 금액은 ▲2023년 639억원 ▲2024년 660억원 ▲2025년 890억원이다. 이는 국내 기업 중 삼성전자, KT 다음으로 많은 수준이다.

더욱이 쿠팡은 국가인증제도인 ‘ISMS-P’(정보보호 및 개인정보 보호 관리체계 인증)을 비롯해 ▲ISO/IEC 27001·27701·27017 ▲APEC·글로벌 CBPR ▲PCI DSS, ePrivacy 등 국내외 보안·프라이버시 인증 7종도 보유했다. 그럼에도 대규모 개인정보 유출 사태를 막지 못했다.

권헌영 고려대 정보보호대학원 교수는 “대한민국의 보안 시스템이 실질적으로 정보를 보호하기 위한 노력보다는 형식적 조치에만 치중한다는 사실을 단적으로 보여주는 사례”라며 “이번 사태를 타산지석(他山之石) 삼아 사회 전반의 보안 인식을 개선하는 계기로 삼아야 한다”고 진단했다.

권 교수는 “플랫폼 업계에서는 쿠팡의 개인정보 유출 문제를 개인의 일탈로만 치부하지 말고 전체 보안 시스템과 내부 통제 체계 등을 철저하게 재정비해야 한다”면서 “정부도 실효성 있는 보안 인증 시스템을 마련하고, 실질적인 피해자 보상 방안을 고민해야 한다”고 말했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지