금융·증권
부동산
산업·IT
경제
정치
사회
국제
라이프
오피니언
기획·연재
fnEdition
생활경제 유통

'정보보안 사각지대' 소비재 산업 불안감 확산…"사후약방문 대응에 사고 반복"

이정화 기자,

조윤주 기자,

최혜림 기자

파이낸셜뉴스

입력 2025.12.03 16:42

수정 2025.12.03 17:42
[서울=뉴시스] 고승민 기자 = 박대준 쿠팡 대표이사가 3일 서울 여의도 국회에서 열린 정무위원회의 쿠팡 개인정보 유출 관련 현안질의에서 송경희 개인정보보호위원장의 현안보고를 들으며 생각에 잠겨 있다. 2025.12.03. kkssmm99@newsis.com /사진=뉴시스
[서울=뉴시스] 고승민 기자 = 박대준 쿠팡 대표이사가 3일 서울 여의도 국회에서 열린 정무위원회의 쿠팡 개인정보 유출 관련 현안질의에서 송경희 개인정보보호위원장의 현안보고를 들으며 생각에 잠겨 있다. 2025.12.03. kkssmm99@newsis.com /사진=뉴시스

[파이낸셜뉴스] 쿠팡에서 3370만건의 개인정보가 유출된 사건을 계기로 소비재 산업 전반의 보안 리스크 우려가 확대되고 있다. 이번 사고는 외부 해킹이 아닌 내부 계정 기반 접근 가능성이 제기되면서, 단순 시스템 결함이 아니라 보안 관리 체계 미흡과 조직 차원의 인식 부족이 드러난 사례라는 지적이 나온다. 특히 최근 몇 년 간 유사한 사고가 반복됐음에도 대응 방식이 사고 이후 점검과 사과에 머무는 ‘사후약방문식 대응 구조’가 고착화됐다는 비판도 크다.

■'잦은 해킹' 유통가..."보안 투자 강화"
3일 업계에 따르면 이커머스, 플랫폼 등 유통가에서 잦은 개인정보 유출에 대한 비판론이 커지고 있다. 대규모 고객 데이터를 기반으로 온라인 서비스를 운영하는 산업 특성상, 위험 노출 지점이 많고 관리 체계가 복잡해지는 구조적 한계가 가장 큰 이유다.

그러나 빠른 확장과 서비스 경쟁이 우선시되면서 보안 투자와 내부 통제 체계가 뒤로 밀린 점도 사고 반복의 배경으로 꼽힌다. 이만희 한남대 컴퓨터공학과 교수는 "기업들이 문제 발생시마다 솔루션을 단편적으로 도입하는 방식으로 대응해 왔다"며 "보안을 시스템 전반의 구조로 설계하기보다 보완적 조치로 다뤄온 관행이 사고를 반복시키는 요인"이라고 말했다.

실제로 최근 1~2년 사이 유통업계에서는 크고 작은 개인정보 유출 사고가 이어졌다. GS리테일에서는 약 9만명의 개인정보가 털렸고, GS샵에서도 약 158만건의 고객 정보가 추가 유출된 사실이 뒤늦게 확인됐다. 명품 플랫폼 발란·머스트잇을 비롯해 디올·티파니·까르띠에·루이비통 등 글로벌 브랜드의 온라인 채널에서도 유출 사고가 잇따랐다.

쿠팡은 빠른 성장에 비해 보안 체계는 너무나 허술했다는 점도 이번 사태로 드러났다. 쿠팡의 전체 IT 투자 대비 보안 투자 비율은 2022년 7.1%에서 지난해 4.6%로 줄었다. 이는 지난해 기준 수백억원대 적자를 낸 이커머스 기업 지마켓(11.0%), 11번가(6.9%)보다도 낮은 수준이다. 한 업계 관계자는 "국내 대기업들은 원격 업무 상황에서도 내부·외부 네트워크를 분리하고 외부 PC 접속을 제한하는 등 다층적인 통제 체계를 운용한다"며 "이번 사고는 국내 기준으로 보면 '있어서는 안 될 수준의 관리 실패'"라고 말했다.

■"검은머리 외국인" 김범석 의장 맹비난..고발도 언급
전날 국회 과학기술정보방송통신위원회(과방위)에 이어 정무위원회도 긴급 현안질의를 열고 쿠팡의 미흡한 대응체계를 한목소리로 질타했다.

정무위 소속 의원들은 이날 박대준 쿠팡 대표를 불러 유출된 정보 범위와 재발 방지 대책 등을 따져 물었다. 특히 김범석 쿠팡 의장에 대한 책임론을 거론하는 목소리도 나왔다.

김현정 더불어민주당 의원은 “쿠팡은 동일한 아이디를 쿠팡페이에 자동 가입되게 하고 있는데, 쿠팡 계정이 유출됐다는 것은 쿠팡페이로 들어갈 수 있는 대문도 뚫렸다는 이야기”라며 2차 피해 가능성을 강하게 질책했다. 박 대표는 “현재까지 침해 흔적은 없다”고 선을 그었지만, 이를 조사 중인 송경희 개인정보보호위원장은 “아직 조사 중이며 확인되지 않은 사항”이라고 반박했다.

개인정보보호 관리체계 인증인 ISMS-P의 실효성에 대한 지적도 이어졌다. 김용만 더불어민주당 의원은 "통신 3사와 롯데카드, 쿠팡 모두 ISMS-P 인증을 받은 기업인데 쿠팡은 심지어 3번째 유출이지 않냐"고 묻자, 송경희 위원장은 "문제점을 개선하겠다"면서 예비 심사제도, 현장 심사, 1년마다 모의해킹 등 실질적 검사와 문제 발생 시 인증 취소 조치 등을 언급했다.

이 자리에선 쿠팡 창업자인 김범석 의장에 대한 고발 가능성도 거론됐다. 신장식 조국혁신당 의원은 "미국 쿠팡INC가 쿠팡의 의결권을 74.3% 보유하고 있다"면서 책임론을 거론했고, 강민국 국민의힘 의원 역시 "검은 머리 외국인 김범석은 한국에서 돈을 벌고 한국 국민의 개인 정보를 활용하고 한국의 물류 배송 인프라를 사용하지만 법적 책임은 전혀 지지 않고 있다"고 맹비난했다.

앞서 개인정보위는 이날 오전 긴급회의를 열고 논란이 된 쿠팡의 미흡한 대응 체계에 대한 즉각 조치를 의결했다. 개인정보위는 개인정보 ‘노출’ 통지를 ‘유출’ 통지로 수정하고, 누락된 항목을 포함해 전 이용자에게 재통지하도록 했다.
쿠팡은 7일 내 조치 결과를 제출해야 하며, 개인정보위는 이행 상황을 지속적으로 점검할 계획이다.

clean@fnnews.com 이정화 조윤주 최혜림 기자

※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지