국내 이커머스 1위인 쿠팡에서 고객 계정 3370만개가 무단 유출됐다. 쿠팡에서 한 번이라도 제품을 구매한 ‘활성 고객 수’가 2470만명(3분기 기준)이었다는 점에 비추어 사실상 모든 고객의 개인 정보가 털린 셈이다. 특히 지난 18일 최고 신고 당시 4536개 개인정보 누출을 발표한 지 11일만에 노출 계정이 7500배나 증가해 국민 불안을 가중시킨다.

쿠팡은 현재까지 확인된 유출 정보는 고객 이름과 이메일 주소, 배송지 주소 및 전화번호라고 선을 긋는다. 결제 정보, 신용카드 및 로그인 정보는 포함되지 않았다는 설명이다. 하지만 아파트 공동현관 비밀번호 유출로 2차 피해를 배제할 수 없다. ‘피해보상’ ‘환불’ ‘피해 사실 조회’ 등을 사칭한 문자 메시지, 악성앱이나 원격제어앱 설치를 유도하는 URL 및 전화 등 각종 스미싱, 피싱 피해는 고스란히 고객 몫이다.

쿠팡은 해외 서버를 통해 올해 6월 24일부터 개인정보가 누출된 것으로 추정하고 있다. 고객정보가 줄줄 새는데도 지난 5개월 동안 이를 몰랐다는 사실이 도무지 믿기지 않는다. 정보보호에 구멍이 숭숭 뚫렸음을 방증한다. 더구나 지난 2021년과 지난해 두 차례에 걸쳐 ISMS-P(정보보호 및 개인정보보호 관리체게 인증)을 취득하고도 4건의 정보유출 사고를 냈다. 형식적인 인증이 아니었는지 실효성마저 의심하지 않을 수 없다.

민관합동조사단의 책무가 막중하다. 철저한 원인 조사와 함께 완벽한 재발방지 대책을 내놔야 할 것이다. IT 투자 대비 정보보안 지출 비율을 구글, 마이크로소프트 수준인 최소 10% 이상으로 의무화할 필요가 있다. 우수기업엔 상응한 인센티브를, 미흡한 곳에는 징벌적 규제를 엄격히 적용해야 마땅하다. IT강국의 이름에 걸맞는 정보인증 체계도 원점에서 재검토해야 한다. 이젠 특단의 대책을 강구해야 할 때가 됐다.

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉