[서울타임즈뉴스 = 허성미 기자] 쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생하면서, 비슷한 구조의 이커머스 업계 전체에 경보가 울리고 있다. 1일 연합뉴스에 따르면 매년 800억원 이상을 정보보호에 투자해 온 쿠팡은 이번 사건으로 수천억원대 과징금 부과 가능성에 놓였다. 소비자 불안 확산에 따라 타사들도 긴급 점검에 나섰다.

2023년 개정된 개인정보보호법은 위반시 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정한다. 실제로 SK텔레콤은 올해 초 개인정보 유출 사고로 1,347억원의 과징금을 부과받았다. 이번 사고는 이름·전화번호·이메일·주소 등 기본 개인정보뿐 아니라 일부 주문 내역까지 포함돼 파장이 더 크다. 특히 배송지 정보가 유출되며 스미싱·보이스피싱 등 2차 피해 가능성도 제기된다.

G마켓은 사고 직후 자체 긴급 보안점검을 실시했다고 밝혔다. SSG닷컴 역시 통신·금융권 사고 증가에 대비해 이미 내부 통제를 강화한 상태라고 전했다. 업계에서는 글로벌 플랫폼과의 합작 증가로 국외 데이터 이전 위험성도 높아졌다는 지적이 나온다. 지마켓의 알리바바 합작법인 설립 사례처럼 고객 데이터가 해외로 이동할 경우 관리 범위가 불명확해져 위험이 커진다는 것이다.

공정위는 기업결합 승인 조건으로 국내 소비자 데이터를 기술적으로 분리하고 해외직구 시장에서의 데이터 공유를 금지했다. 하지만 그 외 영역에서는 소비자가 공유 여부를 선택할 수 있어 보안 사각지대가 여전히 존재한다. 여기에 알리익스프레스·테무·쉬인 등 중국계 플랫폼의 국내 확산으로 개인정보 국외 이전 가능성에 대한 우려도 커지고 있다.

이번 사고의 배후로 전직 직원의 인증토큰·서명키 악용 가능성이 제기되면서 업계는 접근 권한, 로그 기록, 모니터링 체계 등 내부 통제 전반을 재점검 분위기다. 특히 쿠팡처럼 대규모 보안 투자를 지속해 온 기업에서 오히려 대규모 유출이 벌어졌다는 점에서 단순 예산 문제가 아닌 운영 체계와 내부 인증 구조의 구조적 허점이 드러났다는 비판이 강하다.

KISA 정보보호 공시에 따르면 쿠팡은 올해 IT 투자 1조9,171억원, 이중 정보보호 890억원을 집행했다. 최근 4년간 정보보호 누적 투자액은 2,700억 원 이상으로 삼성전자·KT에 이어 업계 최고 수준이다. 그럼에도 5개월 동안 유출 사실을 감지하지 못했다는 점은 경보 시스템의 근본적 실패라는 지적이 제기된다. 이커머스업계 한 관계자는 “유출 경로가 명확히 파악되지 않아 전사적 점검이 이뤄지고 있다”며 “조사 결과가 나오는 대로 추가 대응을 이어갈 것”이라고 말했다.