[이코노미스트 강예슬 기자] 이커머스 업계 전반에 위기감이 확산하는 모습이다. 국내 1위 전자상거래(이커머스) 업체인 쿠팡에서 3000만건이 넘는 대규모 개인정보가 유출되면서다. 쿠팡에 이어 G마켓에서도 무단 결제 사고가 발생하면서 주요 이커머스 플랫폼의 보안 수준에 대한 신뢰가 흔들리고 있다. 반복되는 대규모 보안 사고를 근본적으로 방지하기 위해서는 기업뿐 아니라 정부와 개인 소비자 등 사회 전체의 보안 인식과 시스템을 근본적으로 개선해야 한다는 지적이 나온다.

믿었던 ‘유통 공룡’의 배신

지난 2월 쿠팡Inc가 미국 증권거래위원회(SEC)에 제출한 실적 보고서에 따르면 지난해 쿠팡의 연 매출은 302억6800만달러(약 41조2901억원)로 집계됐다. 243억8300만달러(약 31조8298억원)를 기록한 1년 전보다 29%가량 늘어난 수치다. 

올해 3분기에도 쿠팡은 92억6700만달러(약 12조8455억원)의 매출을 내며 3개 분기 연속 최대 매출을 달성했다. 작년 3분기 78억6600만달러(약 10조6901억원) 대비 매출이 20% 증가했다.

3분기 누적 매출은 36조원을 넘어섰다. 업계에서는 쿠팡이 4분기에도 20% 수준의 성장률을 유지한다면 사상 최고 매출을 올린 지난해 기록을 무난히 갈아치울 것으로 예상했다. 올해 쿠팡의 연 매출 전망치는 약 50조원이다.

국내 이커머스 플랫폼 가운데 사용자도 가장 많다. 애플리케이션(앱)·결제 데이터 기반 시장분석업체 와이즈앱·리테일에 따르면 올해 11월 기준 쿠팡의 월간 활성 이용자 수(MAU) 수는 약 3440만명으로 나타났다. 

종합쇼핑몰 앱 중 1위로, 2위인 알리익스프레스(992만명)의 3.5배 수준이다. ▲11번가(881만명) ▲테무(793만명) ▲G마켓(685만명) 등이 뒤를 이었다.

쿠팡은 지난 11월 29일 약 3370만개 계정의 개인정보가 무단으로 유출됐다고 밝혔다. 노출된 정보는 ▲이름 ▲전화번호 ▲배송지(주소) ▲이메일 주소 ▲일부 주문 정보 등이다. 

지난 18일 쿠팡이 발표한 피해 규모는 4500건이었으나, 9일 만에 7500배 불었다. 사실상 모든 쿠팡 이용자의 정보가 외부로 빠져나간 것으로 보인다. 

쿠팡의 개인정보 유출 규모는 올해 2324만명이 피해를 본 SK텔레콤의 유출 사고를 훌쩍 뛰어넘는다. 한국 성인 4명 중 3명의 개인정보가 노출된 셈이다.

쿠팡 사태 이후 다른 국내 주요 이커머스 플랫폼도 일제히 긴급 보안 점검에 나섰다. G마켓(지마켓)은 지난 주말 자체 긴급 보안 점검을 시행하고, 개인정보 보호 강화 방안을 마련했다. 배달의민족을 운영하는 우아한형제들은 개인정보 노출 영역을, 무신사는 암호화된 회원 정보 보안 시스템을 재점검했다.

국내 이커머스 시장에서 쿠팡과 양강 구도를 형성한 네이버도 쿠팡의 개인정보 유출 사태 이후 이상거래 탐지 시스템(FDS) 모니터링을 강화하고 개선 중이다. 

네이버 관계자는 “네이버 커머스(쇼핑)의 경우 내부 전담 보안 인력을 두고 서비스 설계부터 운영 등의 과정에서 보안 취약점 등의 문제점을 검토 및 대응하고 있다”며 “개인정보 무단 열람 예방 조치와 함께 상시 모니터링을 수행 중”이라고 설명했다.

“쿠팡 사태, ‘타산지석’ 삼아야”

문제는 대형 보안 사고가 반복적으로 발생하고 있다는 점이다. 쿠팡이 대규모 정보 유출 사실을 알린 지난 11월 29일 지마켓 회원 60여명은 계정이 도용돼 무단 결제 피해를 봤다고 금융감독원에 신고했다. 금융당국은 긴급 현장점검에 착수했다.

지마켓 관계자는 “긴급 보안 점검 결과 시스템 해킹 흔적을 발견하지 못했다”면서 “외부에서 유출된 고객 정보가 도용된 것으로 추정된다”고 전했다.

쿠팡발(發) 보안 우려가 확산하는 가운데 이번 사고를 단일 기업 문제로만 치부하지 않고 사회 전반의 보안 시스템을 점검하는 계기로 삼아야 한다는 주장도 제기된다.

쿠팡은 유통업계에서 정보기술·정보보호 투자액이 가장 많은 기업이다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 올해 정보기술 부문에 1조9171억원, 정보보호 부문은 정보기술의 4.6% 수준인 890억원을 투자했다.

쿠팡의 정보보호 투자 규모는 ▲2022년 535억원 ▲2023년 639억원 ▲2024 660억원 등 지속적으로 늘어나는 추세다. 최근 4년간 투자 규모는 2700억원이 넘는다.

▲개인정보보호 관리 체계(ISMS-P) ▲ISO/IEC 27001·27701·27017 ▲APEC·글로벌 CBPR ▲PCI DSS, ePrivacy 등 국내외 보안·프라이버시 인증 7종도 보유했으나 퇴사 직원으로 인해 발생한 개인정보 유출은 막지 못했다.

권헌영 고려대 정보보호대학원 교수는 “대한민국의 보안 시스템이 실질적으로 정보를 보호하기 위한 노력보다는 형식적 조치에만 치중한다는 사실을 단적으로 보여주는 사례”라며 “이번 사태를 타산지석(他山之石) 삼아 사회 전반의 보안 인식을 개선하는 계기로 삼아야 한다”고 진단했다.

권 교수는 “플랫폼 업계에서는 쿠팡의 개인정보 유출 문제를 개인의 일탈로만 치부하지 말고 전체 보안 시스템과 내부 통제 체계 등을 철저하게 재정비해야 한다”면서 “정부도 실효성 있는 보안 인증 시스템을 마련하고, 실질적인 피해자 보상 방안을 고민해야 한다”고 말했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지