유명무실 ‘정보보호 국가 인증’… 쿠팡, 두번 받고도 털려

[쿠팡 3370만명 고객정보 털렸다]
ISMS-P 취득 후 4번째 유출 반복
정부 “아직까진 악성코드 미발견”

박대준 쿠팡 대표가 30일 서울 종로구 정부서울청사에서 열린 쿠팡 관련 긴급 관계부처 장관회의에 참석 후 나서며 회의장 앞에서 취재진의 질의에 답변하고 있다. 2025.11.30 사진공동취재

쿠팡이 정부의 ‘정보보호·개인정보 보호 관리체계 인증(ISMS-P)’을 두 차례 취득하고도 네 차례 개인정보 유출 사고를 반복한 사실이 드러났다. ISMS-P는 과학기술정보통신부와 개인정보보호위원회(개인정보위)가 운영하는 국가 인증이다.

국회 정무위원회 소속 사회민주당 한창민 의원에 따르면 쿠팡은 2021년 최초 인증을 받고 2024년 3월 갱신 인증까지 획득했다. 하지만 2021년 앱 업데이트 오류로 14건의 고객정보, 같은 해 시스템 안전조치 미비로 배달원 13만5000여 명 정보, 2023년 판매자 시스템 오류로 2만2440명의 고객 정보가 유출됐다.

개인정보위 집계에서도 2020년 이후 ISMS-P 인증 기업 27곳에서 34건의 유출 사고가 발생한 것으로 나타나 제도의 실효성 논란도 커질 것으로 전망된다. 기업이 신청한 일부 시스템만 인증 범위에 포함되는 구조라 실질적 예방 장치로 작동하지 못한다는 지적도 나온다.

정부는 30일 관계부처 긴급회의를 열고 민관합동조사단을 꾸리는 등 대책 마련에 나섰다. 개인정보위는 쿠팡이 개인정보 보호와 관련한 안전조치 의무인 접근 통제, 접근 권한 관리, 암호화 등을 위반했는지 여부도 집중 조사 중이다. 경찰은 쿠팡의 고소장을 접수한 뒤 유출 경로와 침입 방식을 확인하기 위한 디지털 포렌식을 진행 중이다. 최우혁 과기정통부 네트워크정책실장은 이날 “아직까지 악성코드는 발견되지 않았다”고 말했다. 대통령실은 AI미래기획수석비서관실을 중심으로 후속 피해 가능성을 모니터링하는 한편 국가안보실이 대응을 지원하고 있다고 밝혔다. 이날 국민의힘은 더불어민주당에 긴급현안질의를 요구하며 “개인정보보호법 위반 여부와 정부 대응 지연, 국가 보안체계 전반의 문제에 대해 국회에서 책임을 분명히 묻겠다”라고 비판했다.



임재혁 기자 heok@donga.com
서지원 기자 wish@donga.com
신규진 기자 newjin@donga.com