쿠팡, 개인정보 유출 5개월 간 몰랐다…국가 공인 보안인증제 구멍

6월 24일부터 개인정보 탈취 시도 3370만건 가입자 정보유출 역대 최대 과징금 SKT 피해 규모 넘어 ISMS-P 획득에도 정보 유출 피해

[파이낸셜뉴스] 쿠팡이 약 3370만건의 가입자 개인정보 유출 사실을 확인했지만 약 5개월이 지나서야 이를 인지한 것으로 나타났다. 쿠팡은 결제 정보, 비밀번호 등 민간 정보는 유출되지 않았다며 진화에 나섰지만, 사실상 전체 가입자 정보가 외부로 빠져나가면서 스미싱 등 2차 피해 우려가 높아지고 있다. 특히 국가 공인 정보보호 인증을 획득한 쿠팡이 외부 공격에 무력화되자 유명무실화된 인증제를 보완해야 한다는 목소리가 커지고 있다.

9일 만에 피해 규모 7500배 증가 신고

30일 쿠팡에 따르면 지난 6월 24일부터 해외 서버를 통해 무단으로 쿠팡 가입자 개인정보에 접근하는 시도가 있었다. 고객 정보 탈취 시도가 5개월 전부터 시작됐는데도 유출 여부를 인지하지 못한 셈이다.

쿠팡은 지난달 18일 사고를 인지하고 같은 달 20일과 29일 개인정보보호위원회에 이 같은 내용을 각각 신고했다. 쿠팡은 최초 신고 당시 4536건의 고객명, 이메일, 주소 등이 유출됐다고 당국에 보고했으나, 지난 29일에는 3370만건의 정보유출이 발생한 것으로 재차 신고했다. 활성고객 규모(2470만명)보다 유출 규모가 크다. 추가 정보 유출 가능성도 배제하기 어렵다는 분석이 나온다.

이번 쿠팡 사고 피해 규모로만 보면 해킹 피해를 입은 SK텔레콤을 뛰어넘는다. 앞서 SK텔레콤은 2324만명의 가입자 개인정보 유출 사고로 인해 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대인 1348억원의 과징금 부과 처분을 받았다.

과기정통부는 대규모 유출 및 추가 국민 피해 발생 우려 등 사안의 중대성을 고려해 민관합동조사단을 즉시 꾸려 사고 원인 분석, 재발방지 대책 마련에 나섰다.

배경훈 부총리 겸 과학기술정보통신부 장관은 이날 정부서울청사에서 진행한 쿠팡 침해사고 및 개인정보 유출 관련 관계부처 긴급 대책회의에서 "정부는 지난 11월 19일 쿠팡으로부터 침해사고 신고를 접수 받았고, 공격자가 쿠팡 서버 취약점을 악용해 정상 로그인 없이 3000만개 이상 고객 이름, 이메일, 배송지 및 전화번호를 유출한 것으로 확인됐다"고 설명했다.

그는 "민관합동조사단이 개인정보 보호 관련 안전 조치 의무를 위반했는지 여부도 조사 중"이라며 “국민 여러분께선 쿠팡을 사칭하는 전화와 문자에 각별한 주의를 부탁드린다. 정부는 국민여러분 불편과 심려를 해소할 수 있도록 관계부처와 함께 최선의 노력을 다하겠다"고 전했다.

쿠팡은 대규모 개인정보 유출 사고에 머리를 숙였다. 박대준 쿠팡 대표는 이날 서울 종로구 정부서울청사에서 열린 쿠팡 개인정보 유출 관련 긴급 관계부처 장관회의에서 참석해 "국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다"며 "민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하겠다"고 말했다.

구멍 뚫린 국가 공인 개인정보 인증제

통신3사, 롯데카드, 쿠팡 등 대규모 개인정보 유출 사태가 잇따르면서 국가 보안 체계에 구멍이 뚫렸다는 비판이 커지고 있다. 특히 정보보호 및 개인정보보호관리체계 인증(ISMS-P) 인증 제도에 허점이 있다는 지적도 제기되고 있는 상황이다. ▶본지 11월 18일자 1면, 3면 참조

국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위로부터 제출받은 자료에 따르면 쿠팡은 2021년과 2024년 두 차례에 걸쳐 ISMS-P 인증을 취득했다. ISMS-P는 기업의 정보 보호·개인정보 보호를 위한 조치·활동이 국가 인증기준에 적합한 지 한국인터넷진흥원(KISA) 등 인증기관이 증명하는 제도다. 기업이 최고 수준의 보안관리 체계를 갖췄다고 국가가 인정한다는 뜻이다. 그러나 쿠팡 뿐 아니라 정보 유출 피해를 입은 통신3사, 롯데카드 등이 모두 ISMS-P 인증을 받았다는 점에서 해당 제도가 유명무실해졌다는 목소리가 높다. 2020년 이후부터 이달까지 총 27개의 ISMS-P 인증 기업에서 34건의 개인정보 유출 사고가 발생했다.

이에 정부는 올해 대규모 정보유출 사태를 계기로 ISMS-P 인증 획득 문턱을 높일 것으로 보인다.

과기정통부와 KISA는 ISMS-P 심사에서 통신3사, 네이버, 카카오, 쿠팡 등 데이터센터 사업자, 정보기술(IT) 플랫폼 사업자 등을 고위험군에 분류해 강화된 평가 기준을 적용하는 방안을 추진 중이다. 고위험군으로 묶이면 향후 인증 심사마다 더 까다롭고, 폭넓은 평가 기준이 적용된다. 정부는 현재 자율 인증제인 ISMS-P를 의무화하는 방안도 검토하고 있다.

mkchang@fnnews.com 장민권 기자