국가인증 받으면 뭐하나…쿠팡, 개인정보 네 번이나 털렸다

크게보기

서울 송파구 쿠팡 본사의 모습. 2024.8.8/뉴스1

쿠팡에서 3370만 개 계정에 달하는 대규모 개인정보가 유출된 걸로 확인되면서 파장이 커지고 있는 가운데, 쿠팡이 2021년과 2024년 두 차례 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득하고도 2021년부터 최근까지 총 네 차례의 개인정보 유출 사고를 반복해 온 것으로 나타났다. 정부는 이번 초대형 유출 사고를 중심으로 사고 경위를 규명하고 재발 방지 대책을 마련하기 위해 민관합동조사단을 꾸려 조사에 착수했다.

개인정보보호위원회는 지난달 20일과 29일 쿠팡으로부터 유출 신고를 접수한 뒤, 29일 과학기술정보통신부와 함께 합동조사단을 구성해 조사에 들어갔다. 쿠팡은 최초 신고 당시 4536개 계정의 정보가 노출된 것으로 파악했으나, 조사 과정에서 피해 규모가 3000만 건 이상으로 급증했고 “최종적으로 3370만 개 계정에서 개인정보가 노출됐다”고 밝혔다.

국회 정무위원회 소속 사회민주당 한창민 의원이 개인정보위에서 제출받은 자료에 따르면, 쿠팡은 ISMS-P 인증을 최초 취득한 2021년 이후 모두 네 건의 유출 사고를 일으킨 것으로 드러났다. 2021년 10월 시스템 개발 과정에서 첫 유출이 발생했고, 같은 해 11월에도 시스템 개발 안전조치 미이행으로 13만5000건이 유출됐다. 2023년 12월에는 앱 개발 오류로 약 2만2000건이 노출됐으며, 올해 11월 사고는 초기 4536건으로 신고됐다가 조사 과정에서 피해 규모가 대폭 확대됐다.

자료에는 사고별 제재 내역도 담겼다. 2021년과 2023년 사고 모두 시정 완료, 자진 신고, ISMS-P 보유 등을 이유로 과징금·과태료가 50%까지 감경된 것으로 나타났다.

개인정보위 자료에 따르면, ISMS-P 인증을 취득한 기업에서 개인정보 유출이 발생한 사례는 쿠팡만의 문제가 아니다. 위원회 출범 이후 총 27개 인증 기업에서 34건의 유출 사고가 발생한 것으로 집계됐고 일부 기업은 현재도 사고 관련 조사가 진행 중이다. 인증 범위는 기업이 자율적으로 설정해 신청할 수 있어 인증 범위와 사고 범위가 다를 수 있다는 설명도 함께 첨부됐다.

인증을 받은 기업에서 유출 사고가 반복되면서 제도의 실효성에 대한 의문도 커지고 있다. 한창민 의원은 “수천만 건 규모의 유출이 확인된 상황에서 ISMS-P 인증제도의 사전 예방 기능에 대해 의구심이 커질 수밖에 없다”며 “개인정보위는 인증제도 보완 또는 새로운 사전예방 장치 도입 여부를 검토해야 한다”고 말했다.