쿠팡에서 3000만 건이 넘는 고객 정보가 외부에 노출되는 초대형 사고가 발생하면서 국내 유통·플랫폼 업계 전반에 경고등이 켜졌다. 쿠팡은 국가 차원의 정보보호 인증인 ISMS-P를 두 차례나 취득했음에도 이미 네 차례 개인정보 유출 사고를 일으킨 것으로 드러나 인증 제도의 실효성 논란까지 불거졌다. 최근 명품·패션, 외식 프랜차이즈 등 유통·외식업계에서도 개인정보 유출이 잇따르고 있다. 이에 개별 기업의 일탈이 아니라 구조적 문제라는 지적과 함께 특단의 대책이 필요하다는 목소리가 커지고 있다.
◆두 차례 ISMS-P에도 네 번 사고…허울뿐인 인증
30일 국회 정무위원회에 제출된 자료에 따르면 쿠팡은 2021년과 2024년 두 차례에 걸쳐 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 취득했다. 그럼에도 불구하고 올해까지 총 네 건의 개인정보 유출 사고를 기록한 것으로 나타났다.
ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호·개인정보보호 통합 인증제도다. 기업이나 기관이 고객 정보와 자체 보유 데이터를 어떻게 수집·저장·이용·파기하는지 전 과정에 걸쳐 관리체계를 갖추고 있는지 평가하는 것이다. 정보보호(ISMS)와 개인정보보호(P)를 통합한 형태로 조직의 보안 정책 수립 여부, 내부 통제 절차, 인력 및 시스템 관리, 침해사고 대응 체계 등을 세부 항목으로 나눠 심사한다. 일정 기준을 충족하면 인증을 부여하고 유효 기간 동안 정기 심사를 통해 관리 수준을 점검하는 방식으로 운영된다. 업계에서는 사실상 개인정보를 대량으로 다루는 사업자가 갖춰야 할 최소한의 보안 자격증 성격으로 받아들여진다.
문제는 이 인증을 두 차례나 받은 쿠팡에서 그것도 약 3370만개 계정에 이르는 대규모 노출 사고가 발생했다는 점이다. 특히 앞서 회사가 파악한 피해 계정 수는 4500개였지만 후속 조사에서 실제 노출 계정이 3370만개로 불어난 것으로 드러나면서 탐지·통보 체계가 제 역할을 하지 못했다는 비판도 제기된다.
전문가들은 “ISMS-P가 서류·절차 위주의 형식적 심사에 치우쳐 있고, 인증 후 상시 모니터링과 사후 점검이 느슨하다면 대규모 침해를 막기 어렵다”고 지적한다. 인증을 받았다는 사실이 오히려 내부 보안 투자를 늦추는 면죄부처럼 작동할 수 있다는 우려도 나온다. 쿠팡 사례는 인증 유무보다 실제 현장에서 어떤 통제와 대응이 작동하느냐가 중요하다는 점을 극명하게 보여줬다.
◆유통·외식업계, 개인정보 유출 도미노 우려
쿠팡 사태는 올해 들어 유통·외식업계를 휩쓴 개인정보 유출 사고의 연장선상에 있다. 대형 이커머스 플랫폼은 물론 명품·패션 브랜드와 외식 프랜차이즈 업체들까지 연이어 고객 정보 노출 사고를 겪으며 업계 전반의 보안 수준에 대한 불신이 커지는 상황이다.
최근 몇 년 사이 국내에서 신고된 개인정보 유출 규모는 수천만 건 단위로 누적되고 있다. 최근 5년간 각 산업에서 발생해 신고된 개인정보 유출 건수는 총 8800만건 이상으로 집계됐다. 특히 2024년 한 해에만 307건의 유출 신고가 접수된 것으로 알려졌다. 통신사 등 다른 산업에서 발생한 대형 사고까지 포함하면 실제 유출 규모는 이보다 더 클 것이라는 분석도 나온다.
기업 현장에서는 “보안 예산은 늘렸는데 사고는 줄지 않는다”는 반응이 나온다. IT 환경이 급변하는 가운데 여전히 최소 인력으로 땜질식 대응을 반복하는 구조가 유지되고 있기 때문이다. 일부 중견 유통기업의 경우 정보보호최고책임자(CISO)조차 두지 않은 채 외주나 겸직 형태로 보안을 관리하는 사례도 적지 않다.
이 때문에 이번 쿠팡 사태를 계기로 단순히 개별 기업에 대한 과징금·시정명령을 넘어 ▲ISMS-P 등 인증제도 전반에 대한 전수 점검 ▲대형 플랫폼·유통업체에 대한 상시 모니터링 체계 구축 ▲보안 사고 발생 시 신속 통보 및 집단분쟁조정 절차 의무화 등 특단의 제도 개선이 필요하다는 지적이 힘을 얻고 있다.
한 정보보호 전문가는 “이번 사태는 인증을 몇 번 받았느냐가 아니라 침해사고를 얼마나 빨리 탐지·차단하고 재발을 막을 수 있는지 즉 실제 운영 단계에서의 위험 관리 능력이 핵심이라는 점을 보여준다”며 “대형 플랫폼일수록 형식적 인증에 머무르지 말고 보안 의사결정 구조와 인력·예산 배분을 전면 재설계할 필요가 있다”고 말했다.
김재원 기자 jkim@segye.com
