“쿠팡만 때리면 끝?” 유통·플랫폼 잇단 정보 유출에도 정부는 ‘뒷북 제재’

쿠팡 본사.ⓒ연합뉴스

올해 들어 유통·플랫폼 업계를 중심으로 개인정보 유출 사고가 잇따르고 있다.

명품 브랜드 디올·루이비통부터 쿠팡까지 대형 사업자들이 줄줄이 사고를 겪었지만, 정부 대응은 사건 이후 기업 제재에 머물러 있다는 지적이 나온다. 국민 생활 인프라로 자리 잡은 유통·플랫폼 서비스 특성상, 반복되는 개인정보 유출을 막기 위한 예방 중심의 제도 정비가 시급하다는 목소리가 커지고 있다.

올해 초부터 유통업계의 개인정보 유출 사태가 끊이지 않고 있다.

1월에는 GS리테일 웹사이트가 해킹 공격을 받아 고객 9만여명의 정보가 유출됐다.

이어 2월에는 홈쇼핑 웹사이트에서도 약 158만건의 개인정보 유출 정황을 확인했다.

올해 3월 블랙야크에서는 해커의 SQL 삽입 공격으로 개인정보가 포함된 데이터 파일이 외부로 유출되며 약 34만건의 정보가 노출된 사실이 확인됐다.

SQL 삽입 공격은 입력값 검증이 미흡한 시스템 취약점을 파고들어 악성 데이터베이스 명령을 실행함으로써 내부 정보를 탈취하거나 조작하는 방식의 해킹 수법이다.

이와 관련해 개인정보보호위원회는 지난 7월 블랙야크에 과징금 13억9000만원을 부과했다. 개보위는 블랙야크가 웹사이트를 개설한 2021년 10월 이후 SQL 삽입 공격에 대한 보안 점검과 대응 조치를 충분히 이행하지 않았다고 판단했다.

고가의 상품을 취급하는 명품 업계 역시 개인정보 관리에 허점을 드러냈다. 지난 5월부터 7월 사이 디올과 티파니앤코, 루이비통, 까르띠에 등 주요 명품 브랜드에서 연쇄적으로 정보 유출 사고가 발생했다.

명품 플랫폼 머스트잇도 예외는 아니었다. 머스트잇은 지난 6월 홈페이지 공지를 통해 5월과 6월 두 차례 해킹 시도가 있었으며, 이 과정에서 회원의 이름과 성별, 생년월일 등 개인정보가 유출됐을 가능성이 있다고 밝혔다.

글로벌 스포츠 브랜드 아디다스 역시 정보 유출 사고를 겪으며 유통·패션 업계 전반의 보안 취약성에 대한 우려를 키웠다.

대부분 기업은 유출된 항목에 이름, 성별, 휴대전화번호, 주소 등이 포함됐으나 결제 정보나 금융 정보는 포함되지 않았다고 설명했다.

최근에는 국내 이커머스 1위 플랫폼 쿠팡에서 약 3370만명의 개인정보가 유출된 것으로 확인됐다.

유출 범위에는 이름, 이메일, 배송지 주소록, 일부 주문 내역 등이 포함된 것으로 파악된다.

이처럼 개인정보 유출이 전방위적으로 발생하고 있는 가운데, 이 같은 반복적 개인정보 유출은 국가적 위험으로 이어질 수 있다는 지적이 나온다.

유통·플랫폼 서비스가 결제·배송·소비 기록 등 국민 일상 전반의 데이터를 축적·관리하는 구조인 만큼, 정보가 해외로 이전되거나 악용될 경우, 경제적 피해는 물론 범죄 악용이나 사회 혼란으로 이어질 가능성도 배제하기 어렵다는 분석이다.

황석진 동국대 국제정보보호대학원 교수는 “국민 다수의 이름과 전화번호, 이메일은 물론 소비 패턴까지 한 곳에 축적된 상황에서 개인정보 유출은 이미 국가 안보와 직결된 문제”라며 “이런 정보가 해외, 특히 중국계 플랫폼 등으로 흘러 들어갈 경우 지역별·소비 유형별 데이터가 경제적 무기로 활용될 소지도 있다”고 말했다.

이에 따라 개인정보 보호 문제를 기업 차원의 컴플라이언스 이슈로만 접근할 것이 아니라, 국가 차원의 대응이 필요한 문제로 인식하고 관련 제도 마련에 집중해야 한다는 목소리가 나온다.

그러나 현재 정부는 제도적 장치 마련이 아닌 개별적 기업 제재에만 집중하고 있다.

이번 쿠팡 사태에 대해서도 정부는 징벌적 손해배상, 영업정지 등 이른바 '기업 때리기'에만 골몰하고 있다.

이재명 대통령은 지난 2일 서울 용산 대통령실에서 국무회의를 주재하며 쿠팡 개인정보 유출 사태와 관련해 “관계 부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상 제도도 현실화하는 등 실질적이고 실효적인 대책 마련에 나서달라”고 주문했다.

전문가들은 사후 처벌 중심 대응 만으로는 구조적 문제를 해결하기 어렵다고 입을 모은다.

황 교수는 “정부 대응이 사고 발생 이후 조사와 제재에만 머무는 전형적인 사후 약방문에 그치고 있다”며 “과징금과 징벌적 손해배상 만으로는 보안 수준을 높이는 데 한계가 있다”고 지적했다.

장항배 중앙대 산업보안학과 교수는 “정부 정책은 기본적으로 ‘지켜라, 어기면 처벌하겠다’는 구조에 머물러 있다”며 “돈을 더 쓰는 것도 중요하지만, 무엇보다 제도 관점에서 민간이 스스로 보안 역량을 갖추도록 유도하는 장치가 필요하다”고 강조했다.

이에 민간이 자발적으로 정보보호 역량을 강화할 수 있도록 제도적 유인을 마련해야 한다는 목소리가 나온다.

구체적으로는 정부 차원의 정기적 모의 해킹 대회, 기업별 취약점 점검 강화, 예방 조치 등을 충실히 이행한 기업에 대해 세제 혜택을 주는 방식 등이 거론된다.

황 교수는 “보안을 비용이 아니라 기업의 생존 전략으로 인식하도록 정책 방향을 바꿔야 한다”며 “사전적 예방 체계가 구축돼야만 사고 발생 가능성을 낮추고, 사고가 발생하더라도 기업과 사회의 회복력을 높일 수 있다”고 말했다.

아울러 일정 규모 이상의 개인정보를 보유한 기업에 대해 적정 수준의 정보보호 인력 확보를 의무화하는 방안을 검토할 필요가 있다고 조언한다.

장 교수는 “정보보호 인력을 갖추도록 하는 논의가 그동안 ‘기업 규제’라는 반대 논리에 막혀 실행되지 못했다”며 “이제는 국민 전체의 위험 요소로 확대된 만큼, 일정 기준 이상의 기업에는 인력 확보를 제도화할 시점”이라고 말했다.

이와 함께 개인정보 보호 책임자의 전문성 강화 필요성도 짚었다.

그는 “현재 CTO(최고기술책임자)나 CISO(최고정보보호책임자)가 겸직 형태로 운영되거나 전문성과 무관하게 임명되는 사례가 적지 않다”며 “보안 책임자의 자격 요건과 전문성을 제도적으로 강화해 실질적인 컨트롤타워 역할을 할 수 있도록 해야 한다”고 밝혔다.