[미디어펜=김성준 기자] 쿠팡에서 발생한 대규모 개인정보 유출 사태로 유통업계 전반의 허술한 보안 실태가 다시 도마 위에 올랐다. 유통업계가 보유한 방대한 고객정보가 해킹의 주요 표적이 됐지만, 기업들의 보안 수준이 고도화된 해킹 수법에 대응하지 못해 피해가 이어지고 있다. 실제 유출이 발생하더라도 정부 대응은 사후 솜방망이 처벌에 그치면서 ‘보안 불감증’을 부추기고 있다는 지적이 나온다.

12일 관련 업계에 따르면 올해 주요 유통기업에서 개인정보 유출 사태가 지속되고 있다. GS리테일은 올해 1월 GS25 웹사이트에서 개인정보 9만건이 유출된 데 이어, 2월에는 GS홈쇼핑에서 158만 건의 개인정보가 유출됐다. 유출된 정보는 이름, 성별, 생년월일, 연락처, 주소, 개인통관고유부호 등 총 10개 항목이었다. 3월엔 블랙야크에서 이름, 성별, 생년월일, 연락처, 주소 등 34만2000건의 개인정보가 유출됐다.

명품·패션 브랜드 등에서 줄줄이 개인정보 유출이 발생했다. 지난 5월 디올은 이름과 전화번호, e메일 주소, 우편주소 등 정보가 유출된 사실을 신고했다. 해당 유출 사고는 지난 1월26일 발생했지만 디올은 이를 100일 가량 지난 뒤에야 인지했다. 같은달 티파니코리아는 이름·주소·전화번호·e메일 주소·판매 데이터 등이 유출된 사실을 뒤늦게 인지하고 신고했다. 아디다스도 이름과 e메일 주소, 전화번호, 생년월일 등이 유출됐다고 알렸다.

6월엔 온라인 명품 플랫폼 머스트잇에서 이름, 생년월일, 성별, 연락처, 주소 등 9개 항목이, 까르띠에에서는 이름, 이메일 주소, 국가 등이 유출됐다. 루이비통도 지난 7월 이름과 성별, 국가와 전화번호, 이메일 주소 등이 해킹으로 유출됐다고 공지했다. 최근 쿠팡에서는 약 3370만 명의 개인정보가 유출되는 초유의 사태까지 벌어졌다.

업계에서는 유통기업들이 보유한 고객정보가 해킹의 주요 표적이 된 것으로 보고 있다. 이름과 연락처, 주소 외에도 주문내역 등 실제 구매 관련 정보가 포함돼 블랙마켓 등에서 보다 ‘비싼 값’을 받을 수 있어서다. 최근 해킹 수법이 고도화되면서 위험도는 커졌지만, 기업들의 보안 수준이 이를 따라잡지 못하며 유출 사고가 빈번해졌다는 설명이다. 최근 4년간 개인정보 유출로 과징금 처분을 받은 기업 139곳 중 유통기업은 34곳으로 가장 높은 비중을 차지한 것으로 나타났다. 

유통기업들의 안일한 보안 인식은 빈번한 개인정보 유출 피해를 야기하는 원인으로 꼽힌다. 실제로 이번 쿠팡의 개인정보 유출은 인증 관련 업무 담당 직원의 인증키가 퇴사 후에도 장기간 방치된 것이 단초가 됐다. 기본적인 보안 수칙을 지켰다면 예방할 수 있었던 사고였다는 분석이 나온다. 쿠팡은 과거에도 △2021년 고객 이름·배송지 주소 노출 △2020년 8월~2021년 11월 쿠팡이츠 배달원 13만5000여명 이름·전화번호 노출 △2023년 12월 주문자와 수취인 2만2440명 개인정보 유출 등 3건의 개인정보 유출 사고가 발생한 전적이 있다. 

정부의 사후적인 ‘솜방망이’ 처벌도 기업들의 보안 불감증을 부추기고 있다는 지적이 나온다. 앞서 쿠팡에서 발생한 3건의 개인정보 유출과 관련해 쿠팡에 부과된 과징금·과태료는 모두 합쳐 16억 원 수준에 불과했다. 현행법상 개인정보 보호 위반 행위의 최대 과징금은 매출의 3%지만, 다양한 감경 사유로 인해 최대 과징금이 부과되는 경우는 드물다. 최근 반복적이거나 중대한 개인정보 보호법 위반 행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과하는 법 개정안이 추진되고 있지만, 근본적인 예방책으로 삼긴 어렵다는 평가다. 

한 유통업계 관계자는 “개인정보 유출 사고가 발생하더라도 외부 해킹 등 요인이 기업 측 과실로 인정되는 부분은 제한적이고, 이 때문에 최대 과징금을 맞는 경우는 찾아보기 어렵다”면서 “현재로선 과징금이 기업들의 보안 강화에 적절한 유인책은 아닌 것 같다. 차라리 (보안과 관련해) 구색만 갖추고 책임을 회피하는 것이 낫다고 여겨질 정도”라고 말했다.