G마켓·SSG닷컴·11번가 등 주말 긴급 점검 … 내부 통제 전면 재정비쿠팡 5개월 탐지 실패 드러나 … SKT 넘는 규모에 초강도 제재 가능성국회, 긴급 현안질의 착수 … 초기 대응·보상 계획·통제 체계 따질 듯
  • ▲ 쿠팡 ⓒ뉴데일리
    ▲ 쿠팡 ⓒ뉴데일리
    쿠팡에서 3370만건에 달하는 초대형 개인정보 유출 사고가 발생하면서 이커머스업계 전반에 비상이 걸렸다. 사고 규모가 국내 전자상거래 역사상 최대 수준으로 확인되자 주요 플랫폼들은 즉시 긴급 보안 점검에 착수하는 등 내부 통제 강화에 나서고 있다.

    1일 업계에 따르면 G마켓, SSG닷컴, 11번가 등 주요 이커머스 업체들은 주말 동안 자체 긴급 보안 점검을 실시해 시스템 내부 통제와 모니터링을 대폭 강화했다.

    업계 관계자는 "어떤 고리에서 유출이 발생했는지 명확하지 않아 내부 통제 전반을 다시 살펴보고 있다"며 "발생 가능한 모든 가능성을 열어두고 대응 체계를 재정비하는 중"이라고 전했다.

    업계가 일제히 보안 강화에 나선 것은 쿠팡이 밝힌 사고 규모가 전례를 찾기 어려울 만큼 크기 때문이다.

    쿠팡에 따르면 지난달 29일 고객 계정 약 3370만건이 외부 해킹으로 무단 노출된 사실이 확인됐다. 유출된 정보는 이름·이메일·전화번호·배송지 주소록·일부 주문정보 등 기본 정보에 한정됐고 결제정보·신용카드 번호·로그인 정보 등 민감 정보는 포함되지 않았다고 설명했다.

    쿠팡이 사고를 최초 감지한 시점은 지난 18일이다. 약 4500개 계정에서 비정상 접근 징후가 포착됐고 회사는 20일 개인정보보호위원회(개보위)와 한국인터넷진흥원(KISA), 경찰청 등에 사고를 신고했다.

    그러나 후속 조사에서 유출 규모가 초기 발표의 7500배에 달하는 3370만건으로 급증했다. 올해 3분기 기준 쿠팡 활성고객이 2470만명인 점을 고려하면 사실상 전 고객 계정이 노출된 것 아니냐는 우려가 나온다.

    유출이 이뤄진 기간도 문제다. 해외 서버를 통한 무단 접근은 지난 6월 24일부터 약 5개월간 지속된 것으로 추정된다. 이 기간 쿠팡 내부 보안 시스템이 어떤 이상 징후도 포착하지 못했다는 점에서 관리·감독 체계 전반의 구조적 허점이 드러났다는 지적이 나온다.

    쿠팡의 정보보호 투자 규모가 업계 최고 수준이라는 점도 논란을 키우는 대목이다. KISA 정보보호 공시에 따르면 쿠팡은 올해 IT 분야에 1조9171억원을 투자했다. 이 가운데 890억원을 정보보호에 투입했다. 최근 4년간 누적 정보보호 투자액은 2700억원을 넘어선다.

    이번 사고의 파급력은 유출 규모가 SK텔레콤(2324만명) 사례를 넘어선다. SKT는 지난해 개인정보 유출로 개보위로부터 역대 최대 규모인 1347억9100만원의 과징금을 부과받았다.

    개인정보보호법상 위반 시 관련 매출의 최대 3%까지 과징금을 부과할 수 있어 쿠팡의 매출 규모(41조2901억원)를 감안하면 이론상 과징금이 1조원대에 달할 수 있다는 전망도 나온다.

    박대준 쿠팡 대표는 전날 "국민께 큰 불편을 끼쳐 죄송하다"며 "민관합동조사단과 협력해 추가 피해를 막고 시스템 전반을 재점검하겠다"고 밝혔다. 다만 피해자 보상 등 구체적인 지원 방안은 아직 제시되지 않았다.

    한편 정치권도 긴급 대응에 나섰다. 국회 과학기술정보방송통신위원회(과방위)와 정무위원회(정무위)는 각각 2일과 3일 긴급 현안질의를 열고 배경훈 과학기술정보통신부 장관, 박 쿠팡 대표 등을 출석시켜 사고 경위와 대응의 적정성을 집중 점검할 계획이다. 

    질의에서는 쿠팡이 사고를 인지한 이후 적절한 조치를 취했는지와 초기 대응 과정에 구조적 문제가 없었는지 등을 중심으로 쟁점을 면밀히 따져볼 것으로 예상된다.