계정·정산·개인정보까지 … 이커머스업계, 보안 관리 도마

앞서 지난해 11월 쿠팡에서도 3000만명이 넘는 대규모 개인정보 유출 정황이 확인되며 플랫폼 보안 문제가 사회적 쟁점으로 부상한 바 있다. 쿠팡은 외부 침입으로 일부 이용자 정보가 유출된 사실을 당국에 신고했으나 사고 발생 이후 상당 기간이 지나서야 이상 징후를 인지한 것으로 알려졌다.

이 과정에서 사고 인지 시점과 피해 범위를 둘러싼 설명이 이어지며 내부 접근 권한 관리와 보안 관제 체계가 제대로 작동하지 않았다는 지적이 제기됐다.

국내 토종 이커머스 플랫폼인 G마켓 역시 지난해 11월 계정 보안과 관련한 사고를 겪었다. 당시 일부 이용자 계정에서 비정상적인 접근이 이뤄지며 60여 명을 대상으로 한 무단 결제 피해가 발생했고 회사는 긴급 점검과 보안 강화 조치에 나섰다.

제임스 장(장승환) G마켓 대표는 당시 임직원 메시지를 통해 "이번 건은 해킹과는 무관한 사고로 외부 침입 흔적은 확인되지 않았다"며 "외부에서 불법 수집된 개인정보를 활용해 로그인한 뒤 결제를 진행한 전형적인 계정 도용 범죄로 추정된다"고 설명했다.

세 사례는 공격 대상과 피해 범위에는 차이가 있지만 이상 징후를 사전에 탐지하지 못했고 피해 발생 이후에야 사고를 인지했다. 그런가하면 사후 대응 중심으로 보완책이 마련됐다는 공통점을 안고 있다. 외형 성장에 비해 보안 투자와 내부 통제 고도화가 뒤처졌다는 지적이 나오는 이유다.

이렇다 보니 관련 피해도 증가하고 있다. 개인정보보호위원회 등에 따르면 지난해 민간과 공공 부문을 합산한 개인정보 유출 규모는 3000만건을 넘어 사상 최고치를 기록했다. 이는 전년 대비 약 3배 이상 급증한 수치다.

같은 해 3분기(9월) 기준 접수된 개인정보 유출 신고 건수 역시 311건으로 이미 2024년 전체 신고 건수(307건)를 넘어섰다. 이 통계에는 개인정보 유출뿐 아니라 계정 도용과 결제 정보 악용 등 플랫폼 보안 사고 전반이 반영돼 있어 최근 이커머스업계에서 잇따른 사고 흐름과 맞물린다는 분석이다.