급성장한 이커머스(전자상거래) 플랫폼 쿠팡이 최근 반복된 개인정보 노출·유출사고로 또다시 도마에 올랐다. 연매출이 41조원을 넘길 만큼 가파른 성장세를 보였지만 보안체계는 여전히 글로벌 수준에 미치지 못한다는 지적이 잇따른다.
1일 관련업계에 따르면 쿠팡은 2020년 배달원정보 노출을 시작으로 2021년 고객정보 노출, 2023년 주문자·수취인정보 유출까지 총 3차례 개인정보 사고를 겪었는데 모두 내부 원인으로 발생했다. 이 과정에서 낮은 수위의 제재를 받으면서 과징금·과태료 등이 총 16억원에 그쳤다. 업계에서는 "사고의 성격상 결코 가볍지 않았는데 제재가 단발성에 머물러 구조적 개선으로 이어지지 못했다"는 진단이 나왔다.
보안업계 관계자도 "사실상 쿠팡에 가입된 계정 대부분에서 개인정보가 노출된 셈인데 외부공격이 아니라 내부자의 접근문제에서 발생했다면 이는 회사와 구성원들의 보안의식이 전반적으로 미비했다는 뜻"이라며 "통신업계에서 발생한 초대형 사고와 비교해도 규모가 큰 편인데 쿠팡의 경우 사고인지까지 긴 시간이 걸린 점은 내부 모니터링 체계 자체가 취약했다는 점을 보여준다"고 강조했다.
쿠팡은 매년 정보보호에 대한 투자를 늘렸지만 매출이 늘어나는 속도를 따라가지 못했다는 관측도 제기된다. 한국인터넷진흥원(KISA)에 따르면 쿠팡의 지난해 정보보호 투자액은 약 860억원으로 국내 기업 중 3위에 해당한다. 하지만 글로벌 주요 IT(정보기술)기업과 비교하면 여전히 절반 수준에 불과하다는 게 업계의 분석이다. 게다가 매출 대비 투자비중은 하락세를 보였다. 2022년 7.1%였던 정보보호 투자비중은 2023년 6.9%, 지난해 5.6%까지 내려왔다.
이번에 내부통제의 허점이 드러났다는 의견도 있다. 한 개발업계 관계자는 "내부 직원이 해외망을 통해 접근했다면 접근한 이유와 해당 로그가 사전에 관리됐어야 하는데 이번 사고를 보면 그 기본체계가 제대로 작동하지 않은 것으로 보인다"고 평가했다. 또다른 개발자도 "3700만명의 정보를 일일이 수기로 빼돌렸다고 보기 어렵고 결국 시스템적으로 대량접근이 가능했다는 의미"라고 전제한 뒤 "이를 내부 모니터링에서 포착하지 못했다는 건 납득하기 어렵다"며 "대량 다운로드나 비정상 서버접속은 대부분 기록이 남는데 이를 실시간으로 감지하는 체계가 부족했다는 방증"이라고 비판했다.
전문가들은 쿠팡의 보안문제를 기술적 결함만이 아니라 내부 거버넌스의 문제로 보는 분위기다. 서비스 확장속도가 빨라진 만큼 복잡해진 시스템 구조를 뒷받침할 통제체계를 갖추지 못했다는 것이다. 한 정보보호 전문가는 "쿠팡은 글로벌 시장을 목표로 하는 만큼 글로벌 스탠더드에 맞는 보안 지배구조 확립이 필수"라며 "접근권한 관리와 로그분석, 사고탐지 프로세스 등 기본적인 보안관리 체계부터 재정비해야 한다"고 말했다.