[쿠팡 3370만명 정보 유출]
쿠팡 ‘내부 접근 인증키’ 안바꾸고 방치
中개발자 등 해외인력 대거 채용… 민감정보 접근권 등 관리는 소홀
개인정보 유출 사고 60%가 내부 소행… 쿠팡, 4년간 정보보호 투자비율 줄여
쿠팡에서 3370만 명의 고객 개인정보를 빼낸 것으로 의심받는 중국 국적의 전 직원은 인증 관련 업무 담당자였던 것으로 드러났다. 이 직원은 정보기술(IT) 분야 개발자이며 인증 절차에 이용되는 프로그램을 만드는 작업을 했던 것으로 알려졌다. 인터넷 기업의 핵심인 인증 관련 부서에 외국인을 배치한 것도 의아하지만 해당 외국인이 퇴사한 후 관리도 소홀했다는 점이 도마에 오르고 있다.
● 외국인 개발자 증가하지만 관리 소홀
1일 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 자료를 내고 “쿠팡 고객정보 유출자로 의심받는 중국 국적 전 직원은 인증 관련 업무 담당자”라고 밝혔다. 쿠팡을 포함한 IT 업계에서는 최근 외국인 개발자에 대한 수요가 늘고 있다. 특히 쿠팡의 경우 미국 시애틀 워싱턴, 중국 베이징 상하이, 인도 벵갈루루, 대만 타이베이 등 해외 곳곳에 개발 기지를 두고 있다. 한 이커머스 업계 관계자는 “쿠팡은 개발 역량을 강화하기 위해 해외 인력을 대거 채용하고 있다”며 “핵심 데이터 접근 권한을 가진 외국인이 늘면서 보안 위협도 커졌을 것”이라고 말했다.
업계에서는 외국인 인력 채용은 불가피하지만 채용 후 관리가 철저해야 한다고 입을 모은다. 한 인터넷 기업 관계자는 “인증 관리 부서에는 외국인을 배치하지 않는다”며 “민감한 정보에는 접근 자체를 제한하는 등의 대책이 필요하다”고 지적했다.
김정덕 중앙대 산업보안학과 명예교수는 “큰 조직은 수시로 인사 이동이 이뤄진다”며 “인사 시스템과 보안 시스템을 연동해 인사에 따라 시스템 접근 권한이 조절되도록 조치하는 것이 바람직하다”고 말했다. 이번 쿠팡 사건에 대해서는 “퇴사한 직원이 내부 중요 정보에 접근할 수 있었다는 것 자체가 문제”라고 지적했다. 정부의 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’의 인증 기준에도 퇴사자의 계정 말소 조항이 있다. 쿠팡은 이 지침을 지키지 않고 소홀했던 것이다.
● 정보보호 투자는 감소
이런 가운데 쿠팡은 최근 4년간 IT 대비 정보보호 투자 금액을 줄여온 것으로 파악됐다. 1일 한국인터넷진흥원(KISA)의 정보보호 투자 공시에 따르면 쿠팡은 올해 정보보호 투자액을 890억 원으로 공시했다. 투자 금액으로 보면 2022년 535억 원, 2023년 639억 원, 지난해 660억 원으로 늘었다. 하지만 IT 분야 투자 대비 정보보호 투자 비율은 같은 기간 7.1%에서 2023년 6.9%로 하락한 뒤 지난해 5.6%, 올해는 4.6%로 줄었다. 이 수치는 773개 정보보호 투자 공시 기업들의 평균인 6.28%보다 낮다.
외국인 개발자 증가와 정보보호 투자 감소는 내부에서 업무 과실 등으로 개인정보 유출 사건 사고가 빈번해지는 결과를 낳고 있다. 1일 민주당 김남근 의원실이 개인정보보호위원회 자료를 분석한 결과 개인정보 유출 사건 사고 10건 중 6건은 이번 쿠팡 사례처럼 ‘내부자’에 의한 것으로 나타났다. 개인정보위 출범(2020년 8월) 이후 올해 9월까지 최근 5년간 개인정보를 유출한 기관은 467곳이었다. 이 가운데 380곳은 민간기관이었다. 유출 원인을 보면 민간기관 380곳 중 220곳(58%)이 내부에서 사건 사고를 냈고, 공공기관에서도 전체 87곳 중 62곳(71%)이 내부자가 원인이었다.
쿠팡이 올 8월 개인정보위로부터 고객정보 관리 부실을 이유로 행정지도를 받은 사실도 드러났다. 개인정보위는 7월 쿠팡 등 5개 쇼핑 애플리케이션을 조사했는데, 쿠팡이 계열사와 고객 정보를 주고받는 과정에서 감시 체계가 부족한 점이 지적됐다.
한편 최근 5년 동안 유출된 개인정보는 1억 건을 넘었지만 정부가 부과한 제재 수준은 미미했다. 같은 기간 총 1억916만4950건의 개인정보가 유출됐고, 이에 따른 누적 과징금은 3671억1586만 원, 과태료는 39억6880만 원이었다. 단순 계산하면 개인정보 1건당 부과된 과징금은 평균 3300원, 과태료는 33원에 불과한 셈이다.
박춘식 서울여대 정보보호학과 교수는 “한국은 집단소송을 해도 소송에 참여한 사람에게만 보상이 돌아가지만 미국은 승소하면 피해를 본 전체 소비자가 보상을 받는다”며 “이런 징벌적 장치가 있어야 기업들이 보안을 필수 투자로 인식할 것”이라고 말했다.
댓글 0