그래서인지 올해 연말은 무탈하길 더 바랐다. 바람은 여지없이 무너졌다. 지난달 29일 저녁 국내 최대 이커머스인 쿠팡이 초대형 고객정보 유출사고를 알렸다.
쿠팡에 따르면 3370만개 회원 계정의 이름, 이메일, 배송지 주소와 전화번호, 일부 주문 정보가 무단으로 조회·유출됐다. 사실상 국내 성인 4명 중 3명의 정보가 털린 셈이다. 공격자는 6월 말부터 쿠팡 서버의 인증 취약점을 악용해 정상 로그인 없이 데이터를 빼냈다. 쿠팡은 5개월 동안 이를 인지하지 못했다.
쿠팡의 초기 대응도 아쉽다. 지난달 20일 1차로 4500명 정보 '노출'이라고 공지했다. 2차 피해가 없었기 때문에 '유출'을 쓰지 않았다고 한다. 이후 9일 만에 3370만 계정 유출이 확인된 점도 의아스럽다. 열흘도 안돼 유출 대상이 7500배 가까이 폭증한 건 1차 신고의 부실 논란이 될 수 있다.
소비재 산업의 정보보안이 취약한 건 구조적 문제다. 유통·이커머스·편의점·외식·패션 플랫폼은 본질적으로 '고객 데이터 집약 업종'이다. GS리테일 계열의 GS25·GS샵에서는 웹 취약점과 크리덴셜 스터핑 공격으로 대규모 고객 정보가 유출됐고, 파파존스·써브웨이는 주문 시스템 설계 미비로 수천만건의 주소·전화번호·카드번호까지 장기간 노출됐다.
문제는 이들 업종의 사업목표가 '빠른 성장·고객 확장·마케팅'에 쏠려 있다는 점이다. 데이터는 더 많이 모을수록 매출에 도움이 되지만, 보안을 강화할수록 개발 속도는 느려지고 비용은 늘어난다. 그 결과 개인정보 최소 수집·암호화보다 '데이터 풀' 확대에 매몰됐다. 침해사고 탐지·모니터링보다 신규 서비스 출시와 판매가 성과를 좌우한 것도 소비재 기업의 특징이다.
반면 금융·통신은 '규제 중심 업종'이다. 은행·카드사는 전자금융 감독규정과 전산센터 이중화, 침해사고 즉시 통보 의무에 묶여 있다. 통신사도 기간통신망 보호 의무가 강하게 작동한다. 보안투자는 비용이 아니라 규제 리스크 관리로 인식된다. 이런 업종들도 보안사고를 온전히 막지 못했다. 그런데 소비재 기업은 '일반 기업'으로 분류돼 최소한의 법적 요구사항만 충족하면 된다. 같은 개인정보라도 규제 강도와 감독 인력 배분에서 격차가 크다. 소비재 기업이 규제 수준보다 엄격하게 보안 인프라를 구축할 리 만무하다. 또 이커머스와 배달 플랫폼은 주소·출입비밀번호·배송 패턴을 매우 정밀하게 쌓는다. 하지만 파파존스 사례처럼 공동현관 비밀번호, 카드번호 이미지까지 암호화 없이 저장한 건 소비재 기업들의 낮은 보안 인식을 방증한다. 공격자 입장에서 금융사는 탐지·추적 리스크가 높고, 유통·외식 플랫폼은 대량의 실생활 정보에 비해 방어체계가 느슨하니 '가성비 좋은 먹잇감'인 것이다.
쿠팡 정보유출은 한 기업의 사고가 아니다. 소비재 산업 전반에 누적된 보안 부재가 터진 것이다. 소비자가 일상에서 가장 자주 만나는 서비스가 가장 허술한 방패를 두르고 있는 현실이다. 이참에 '보안은 비용'이라는 인식부터 떨쳐내야 한다. 혹여 '시간이 지나면 잊혀지겠지'라며 안일하게 대응한다면 시장에서 퇴출은 시간문제다. '서비스는 좋지만 언제 내 정보가 털릴지 몰라 불안하다'는 기업 이미지가 굳어지는 건 한순간이다. 소비자들은 '바보'가 아니다.
cgapc@fnnews.com 최갑천 생활경제부장
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지