3370만건 개인정보 유출

퇴사 직원 소행 가능성 무게

물류인프라 등 기술투자 확장 집중

보안 등 내부 관리 체계 허점 노출

국내 최대 e커머스 플랫폼 쿠팡이 3370만건에 이르는 고객 개인정보를 유출한 중국 국적의 전 쿠팡 직원을 경찰에 신고한 것으로 알려지면서 쿠팡의 내부통제 실패 가능성에 무게가 실린다.

테크기업을 표방한 쿠팡이 전국 배송망 구축을 목표로 물류 인프라를 완성하는데 10조원에 가까운 투자를 단행하고, 인공지능(AI)을 활용한 혁신 기술의 중요성을 주창해 왔으나, 수많은 고객 데이터를 관리하고 보호하는 데는 소홀했다는 비판이 나온다.

쿠팡에서 3000만 건이 넘는 대규모 개인정보 유출 사고가 발생했다. 이는 경제활동인구 2969만 명을 넘어서는 규모로 역대 최악의 유출사고이다. 1일 개인정보 유출 사고와 관련한 쿠팡 사과 문자 뒤로 쿠팡 본사에 설치된 쿠팡 입간판이 보이고 있다. 윤동주 기자

1일 유통업계에 따르면 쿠팡은 전날 고객들에게 공지한 문자에서 "고객님의 소중한 개인정보가 일부 노출되는 사고가 발생했다"면서 "이번 사건은 비인가 조회로 파악됐으며 경찰청과 개인정보보호위원회, 한국인터넷진흥원 등 관련 당국과 협력해 조사 중"이라고 밝혔다.

개인정보 유출자는 중국 국적의 전 쿠팡 직원으로, 현재 쿠팡에서 퇴사해 해외 체류 중인 것으로 알려졌다. 해당 직원은 개인 정보 빼돌린 이후 최근 쿠팡 측에 협박성 이메일을 보내면서 쿠팡은 개인정보 노출 사실을 인지했다.

쿠팡이 미국 증권거래위원회(SEC)에 제출한 지난해 연례보고서에 따르면 쿠팡은 최고정보보안책임자(CISO) 산하에 200명 규모의 정보보안팀이 제3자 벤더와 서비스 제공업체, 고객 등과 관련된 정보에 접근 등 관련된 보안 사고를 감독하고 식별하는 시스템을 운영 중이다.

이 때문에 쿠팡 직원이 고객 정보에 접근하기 위해선 승인 절차가 필요한데, 해당 직원은 승인받지 않은 ID로 고객 정보를 조회한 것으로 전해진다. 쿠팡은 고객정보가 무단으로 조회된 사실을 인지한 뒤 해당 ID를 추적해 4500개 계정의 개인정보가 노출된 것을 파악해 개인정보보호위원회 신고했고, 후속 조사 과정에서 5개월 전인 6월24일부터 비인가 조회가 이뤄진 사실을 확인했다.

그동안 쿠팡이 유통 기업을 넘어 테크 기업이라는 점을 부각했던 전례에 비춰봤을 때, 사고 예방이나 사후 대응이 지나치게 허술하다는 지적이 나오는 배경이다. 앞서 쿠팡은 2014년부터 10년간 로켓배송 인프라를 구축하기 위해 물류센터 건설, 택배 분류 로봇 설비, 배송 기사 채용 등에 6조2000억원 이상을 투자했다. 지난해에는 2027년까지 3조원 이상을 추가로 들여 로켓배송 권역을 전국으로 확장한다는 비전을 제시했다. 이들 투자액만 10조원에 육박한다. 여기에 '고객 중심, 데이터 기반 혁신, 문제 집중과 빠른 해결'이라는 엔지니어링 문화를 우위에 두고 혁신 기술 육성도 장려하고 있다. 최근에는 서울에서 전 세계 IT개발자 스타트업, 엔지니어, 디자이너 등 다양한 분야의 전문가가 모여 AI 기술을 활용한 솔루션을 개발하는 해커톤 대회의 주관사로 참여하는 등 기술 생태계 확장과 신성장 동력을 발굴하는 데 적극적이다.

정보보호를 위한 영역에도 인적·물적 투자를 확대하고 있으나 회사의 빠른 성장세에 비하면 비중이 크지 않다. 한국인터넷진흥원(KISA)의 정보보호 공시에 따르면 쿠팡의 정보보호 부문 투자액은 2021년 535억원, 2022년 639억원, 2023년 659억원, 지난해 889억원으로 파악됐다. 이는 각 기업이 정보기술과 정보보호에 얼마나 투자하는지 파악할 수 있는 자료다. 지난해 연 매출 40조원을 돌파한 쿠팡의 덩치를 고려하면 정보보호에 대한 투자액이 미미하다는 평가가 뒤따른다. 이 기간 정보기술 부문 투자액은 7494억에서 1조 9000억원까지 늘었는데 전체 예산 대비 정보보호 부문 비중은 7.1%에서 4.6%로 오히려 감소했다. 정보보호 부문 전담 인력도 170명에서 211명으로 3년간 40명가량 증가하는 데 그쳤다.





이 때문에 쿠팡의 이번 개인정보 유출 사고는 외부 침입보다 내부 시스템 관리의 문제에서 비롯됐다는 주장에 힘이 실린다. 박대준 쿠팡 대표는 전날 정부서울청사에서 대규모 개인정보 유출 사고에 대해 공개 사과한 뒤, 중국 국적 직원의 개인정보 유출 의혹에 대해선 "수사 영역이고 수사에 적극 협조 중"이라며 "그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다"고 선을 그었다.

0일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 박대준 쿠팡대표가 회의장을 나서며 공개 사과하고 있다. 연합뉴스





