글, 정인

‘직원 한 명’이 이 모든 걸 저질렀다고 하지만요

이커머스 기업 쿠팡에서 고객 정보 3370만 건이 유출됐어요. 우리나라 총인구는 약 5000만 명으로 초고령자와 미성년자를 제외하면 사실상 전 국민의 정보가 새어나갔다고 볼 수 있어요. 실제 정보가 유출된 것은 5개월 전으로, 쿠팡은 정보를 빼낸 내부 직원이 퇴사 후 소비자에게 협박성 이메일을 보낸 후에야 유출 사실을 인지했다고 해요. 이번 사태에서 드러난 가장 큰 문제는 수천만 명이 이용하는 플랫폼에서 직원 한 명이 마음먹는다고 모든 정보가 유출될 수 있다는 사실이에요. 쿠팡은 퇴사한 직원에게 발급한 ‘보안 인증키’를 그대로 방치했다고 해요.

민감해도 너무 민감한 정보들이에요

또 다른 문제는 암호화예요. 고객 정보 DB를 다운받았다고 하더라도 암호화가 되어 있다면 식별이 되지 않아 이용하지 못했을 가능성이 커요. 지난 30일, 개인정보보호위원회는 쿠팡이 접근통제와 접근 권한 관리, 암호화 등 개인정보 보호 관련 안전 조치 의무를 위반했는지 조사하기 시작했어요. 현재 유출된 정보는 이메일과 주소, 공동현관 비밀번호와 전화번호, 구매 내역 등이에요. 인구특성과 소비성향 등 데이터를 조합했을 때 거주 위치가 특정될 수 있는 정보들이죠. 유출된 정보가 퍼진다면 범죄에 악용될 수 있어요. 

집단 소송 조짐이 보여요

쿠팡에 대한 집단 소송이 진행될 것 같아요. 온라인 커뮤니티나 법조계 일각에서 피해자를 모아 민사소송을 제기하려는 움직임이 보이고 있어요. 복수의 집단소송 카페 가입자는 1일 오전 기준 20만 명을 넘어섰어요. 소비자 민사 소송이 활발한 미국에서는 2019년, 페이스북(메타)이 여론조사기업에 당사자 동의 없이 개인정보를 제공했다가 50억 달러 과징금을 낸 적이 있어요. SNS에서는 우선 ‘개인통관고유부호’만이라도 재발급받아야 한다는 주장이 나오는 중이에요.

🎡 사이버 보안과 개인정보 해킹, 우리나라에서는 너무 흔해져서 오히려 신경 쓰지 않게 되는 역설이 발생하고 있어요. 우리나라에서 이런 사고가 빈발하는 이유가 있답니다. 일단 문제라는 인식도, 처벌도 강하지 않아요. 보안에 투자하지 않는다는 게 사실상 가장 큰 원인이고요. 최근 3년간 누적 1000억 원 이상 보안에 투자한 국내 기업은 10곳에 불과하다는 한국인터넷진흥원 조사 결과도 있죠. 1년에 350억 원을 투자했다고 가정하면, 지난달에 검거된 보이스피싱 범죄조직 한 곳이 일으킨 범죄피해액(약 354억 원)보다도 적은 금액이에요.