(사진: 쿠팡)

쿠팡발 '3,370만 계정 유출'… 사실상 전 국민급 사고

데일리안·아주경제·연합뉴스TV 등에 따르면, 최근 쿠팡에서 발생한 개인정보 유출 사고로 유출 피해 규모는 약 3,370만 계정으로 추산된다. 이름·이메일·전화번호·주소·일부 주문 정보 등 상당수의 민감 정보가 포함돼, 성인 인구 기준으로 “4명 중 3명의 정보가 외부에 드러난 셈”이라는 분석까지 나온다. 

쿠팡은 지난달 18일 처음에는 “약 4,500건의 계정 정보가 비인가 조회됐다”고 공지했다가, 이후 조사 과정에서 유출 규모가 3,370만 계정으로 7,500배 가까이 불어난 것으로 드러났다.  최근 5건의 주문 정보까지 포함돼 있다는 점에서, 단순 연락처 유출을 넘어 구매 성향·생활 패턴까지 추정 가능한 수준이라는 우려도 제기된다.

정부는 과학기술정보통신부, 한국인터넷진흥원(KISA), 개인정보보호위원회 등과 함께 합동 조사단을 꾸려 사고 경위와 2차 피해 가능성을 들여다보고 있다. 업계에서는 “국내 1위 이커머스 플랫폼에서 발생한 ‘사상 최대급’ 유출”이라는 평가와 함께, 유통업계 전반의 보안 체계 재점검이 불가피하다는 분위기다. 

GS리테일·명품·외식업체까지… 연쇄 유출에 드러난 '취약한 방패'

쿠팡만의 문제가 아니다. 올해 1~2월에는 GS리테일에서 개인정보 유출 사고가 발생해, GS25 홈페이지를 통해 고객 9만여 명의 정보가 유출된 것으로 확인됐다. 같은 그룹의 홈쇼핑 웹사이트에서도 158만 건 규모의 유출 정황이 추가로 드러났다. 당시 GS리테일은 최고경영진이 참여하는 정보보호 대책위원회를 긴급 가동해 사태 수습에 나선 바 있다. 

패션·명품·스포츠 브랜드도 안전지대가 아니다. 5월에는 스포츠 의류 브랜드 아디다스에서 해킹으로 고객 개인정보가 유출됐고, 6월에는 명품 플랫폼 머스트잇에서 고객 이름·휴대전화 번호·이메일 등 정보가 새어나갔다. 같은 시기 디올·티파니·까르띠에·루이비통 등 글로벌 명품 브랜드들이 한국에서 잇따라 고객 정보 유출을 공지하면서, 소비자 불안이 커졌다. 

외식업계에서도 한국파파존스가 고객 이름·연락처·주소뿐 아니라 일부 카드 정보까지 포함된 유출 사고를 인정했다. 통신·카드·커머스 업종 전반에서 해킹 사고가 이어지자 시민단체들은 “사실상 전 국민의 정보가 해커 손에 들어간 것 아니냐”는 취지의 비판과 함께 집단소송제·징벌적 손해배상제 도입을 요구하고 있다. 

IT엔 兆 단위 투자, 보안은 4%대…보호 인력 비중도 감소

문제는 투자 구조다. KISA 정보보호 공시 종합 포털에 따르면, 쿠팡의 정보기술(IT) 부문 투자 대비 정보보호 부문 투자 비율은 2024년 기준 4.6%에 그친다. 관련 공시가 처음 올라온 2022년 7.1%와 비교하면 2.5%포인트 하락한 수치다. 같은 기간 정보보호 투자 공시를 한 773개 기업 평균 비율(6.29%)에도 미치지 못한다. 

해외와 비교하면 격차는 더 크다. 미국 보안 컨설팅 기관 IANS 리서치 조사에 따르면, 미국 기업들의 IT 예산 중 보안 투자 비율은 평균 13.2% 수준이다. 우리 유통 대기업들의 4%대 안팎 비율이 글로벌 평균의 3분의 1에도 못 미치는 셈이다. 

다른 유통 기업들도 사정은 비슷하다. 신세계(5.6%), SSG닷컴(4.6%), CJ올리브영(4.3%), 현대백화점(4.1%), GS리테일(4.1%), 롯데쇼핑(4.0%), 이마트(4.0%), 신세계인터내셔날(3.7%) 등 대부분이 공시 기업 평균(6.29%)보다 낮은 것으로 집계됐다. 

인력 구조도 불안하다. 쿠팡은 2022년 기준 IT 부문 인력 2,303명 중 정보보호 전담 인력이 7.4%였지만, 2023년에는 6.9%로 비중이 줄었다. 같은 기간 현대백화점(4.7%→4.2%), GS리테일(4.4%→4.0%) 등도 보안 인력 비중이 일제히 감소했다. IT·AI·물류 자동화 인력은 늘리고 있지만, 보안 인력은 상대적으로 줄이는 ‘역전 현상’이 나타난 셈이다. 

해킹·유출은 매년 늘어… '보안 투자, 규제·집단소송 논의 함께 가야'

개별 회사 문제를 넘어, 국가 차원의 유출 규모도 빠르게 불어나고 있다. 개인정보보호위원회 통계에 따르면 국내 개인정보 유출 건수는 2022년 65만 건에서 2023년 1,011만 건, 2024년 1,377만 건으로 3년 사이 20배 이상 증가했다. 특히 AI·클라우드 전환으로 시스템이 복잡해지고 해커들의 공격 수법도 고도화되면서, 기존의 ‘방화벽+비밀번호’ 수준 보안 체계로는 방어가 어렵다는 진단이 나온다.

전문가들은 개인정보 유출이 단순한 이미지 훼손을 넘어, 스미싱·보이스피싱·주소 기반 피싱·가짜 배송 안내 등 2차 피해로 직결될 수 있다고 경고한다. 실제로 이름·집주소·구매 이력 등이 결합되면 “최근 기저귀를 산 고객에게 택배사를 사칭한 악성 문자를 보내는” 식의 공격 시나리오를 얼마든지 만들 수 있기 때문이다. 

시민단체들은 집단소송제·징벌적 손해배상제·증거개시제 도입을 거듭 요구하고 있다. 참여연대는 논평을 통해 “개인 정보를 유출해도 기업이 실질적인 책임을 지지 않는 구조에서는 보안 투자 유인이 생기기 어렵다”며, “대규모 유출을 일으킨 기업은 ‘망할 수도 있다’는 위기의식이 있어야 정보보호 강화도 가능하다”고 주장했다. 

업계에서는 “유통·이커머스 기업들이 AI·로봇·물류 자동화에는 공격적으로 투자하면서도, 정보보호 예산과 인력을 ‘비용’으로만 취급해 온 구조적 문제가 드러난 것”이라는 자성도 나온다. 한 유통업계 관계자는 데일리안과의 인터뷰에서 “쿠팡 사태를 계기로 각 기업이 정보보호의 중요성을 절감했을 것”이라며 “정책·규제와 함께 보안 투자 확대를 유도할 정부 역할도 필요하다고 말했다. 

전망 – ‘혁신’의 속도와 ‘보안’의 속도를 맞출 수 있느냐

이번 쿠팡 3,370만 계정 유출과 잇단 유통업계 사고는, “IT 투자 = 곧 보안”이 아니라는 사실을 적나라하게 보여준다. AI·로켓배송·스마트 물류 등 눈에 보이는 혁신에는 천문학적인 예산이 투입되지만, 이를 지탱해야 할 정보보호 예산·인력 비중은 오히려 줄어드는 모순이 드러난 셈이다.

향후 관건은 유통·이커머스 기업들이 IT 예산 구조에서 보안 비중을 얼마나 과감히 끌어올릴지, 정부가 정보보호 공시·집단소송·징벌배상 등 제도 개선으로 ‘보안 안일주의’에 실질적인 비용을 부과할지, AI·클라우드 시대에 맞는 새로운 보안 기준과 인증 체계를 얼마나 빨리 마련하느냐다.

지금처럼 “유출되면 사과하고, 할인 쿠폰 주고, 다시 잊혀지는” 루틴이 반복된다면, 소비자 신뢰는 물론 한국의 디지털 경제 경쟁력 자체가 흔들릴 수 있다. IT투자와 보안투자 사이의 ‘4% vs 13%’ 격차를 얼마나 빨리 좁히느냐가, 유통업계의 다음 10년을 가를 분수령이 될 것이라는 지적이 나온다.