플랫폼부터 명품 브랜드까지⋯되풀이되는 개인정보 유출 ‘악몽’[이커머스 보안쇼크]

▲국내 이커머스 시장 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 정보 유출 사고가 발생하면서 소비자들의 불안이 커지고 있다. 30일 유통업계에 따르면 쿠팡은 전날 오후 고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다고 공지했다. 쿠팡은 이 사고를 18일 인지하고 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 이날 서울 송파구 쿠팡 본사 모습. 조현호 기자 hyunho@

온라인 등 유통업체들의 개인정보 유출 사고는 비단 어제 오늘 일이 아니다. 최근 1년 사이 GS리테일 홈페이지 해킹 이슈로 편의점과 홈쇼핑 고객의 개인정보 160만여 건이 빠져나갔고 국내 쇼핑 플랫폼 머스트잇도 수 차례에 걸쳐 해킹 시도를 겪었다. 디올과 루이비통, 까르띠에 등 명품 브랜드 고객들도 연락처와 구매정보 등 민감한 개인정보 유출 당사자가 됐다.

유통업계에 따르면 GS리테일은 지난해 12월과 1월 편의점(GS25)·홈쇼핑(GS샵) 웹사이트를 통해 고객 개인정보가 150만 건 이상 외부로 빠져나가 곤혹을 치렀다. 사건 초기만 하더라도 정보유출 피해 규모는 편의점을 중심으로 약 9만 명 수준으로 알려졌으나 뒤늦게 홈쇼핑 고객정보도 유출됐다고 발표했다. 그 피해 규모는 약 8개월 간 158만 건에 이른다.

당시 유출된 정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일, 기혼 여부, 결혼기념일, 개인통관고유부호 등 최대 10개다. GS리테일의 개인정보 유출은 외부 침입에 의한 것으로 파악된다. 공격자는 타 사이트 등에서 미리 확보한 아이디·비밀번호 조합을 GS리테일 웹사이트 로그인에 무작위로 대입하는 ‘크리덴셜 스터핑(credential stuffing)’ 방식으로 대규모 해킹 사태로 이어졌다.

전세계에 고객을 두고 있는 주요 명품 브랜드와 온라인 플랫폼에서도 고객 개인정보 유출 사고가 연이어 발생했다. 최근 1년 간 개인정보 유출 사고 발표를 보면 LVMH·케링 그룹 산하 브랜드인 디올·루이비통·까르띠에·티파니와 구찌·발렌시아가 등에서 피해가 집중됐다. 세부적인 피해 규모는 공개하지 않고 있으나 구매내역 등이 함께 유출된 브랜드도 적지 않은 것으로 알려졌다.

온라인 플랫폼사에 대한 외부 공격도 잇따르고 있다. 국내 패션 플랫폼인 머스트잇은 올해 5월과 6월 두 차례 해킹 시도를 겪었고 예스24 역시 랜섬웨어 및 해킹 공격 여파로 한동안 서비스가 먹통이 되기도 했다.

국내 유통사들의 개인정보 유출 사고는 대부분 공통적으로 사용하는 비밀번호 취약점(크리덴셜 스터핑)이나 내부 관리 미흡에서 비롯됐다. GS리테일의 경우 합병 후 시스템 통합 지연이 해킹 원인으로 지목됐고, 쿠팡은 피해 규모가 국내 인터넷 사용자 대부분을 커버해 업계 전체 보안 체계 재점검이 요구되고 있다. 그러나 대다수 전례가 약한 보안을 뚫고 외부자 침입에 의해 발생한 전례와 달리 이번 사건의 경우 내부 직원 소행에 힘이 실리고 있어 유통사 임직원의 도덕적 해이와 내부 시스템 강화 필요성도 거론된다.

쿠팡 정보유출 피해자들의 움직임도 본격화하고 있다. 이날 SNS에 개설된 '쿠팡 개인정보 유출 단체 소송 준비' 오픈채팅방에는 이날 16시 22분 기준 1400명 이상이 입장해 집단소송에 대한 관심을 표했다.

쿠팡 관계자는 "독립적인 리딩 보안기업 전문가들을 영입해 무단 접근 경로를 차단하는 한편 내부 모니터링을 강화하고 있다"며 "조사 중인 사안인 만큼 구체적인 경위 확인과 후속 조치를 위해 사법기관ㆍ규제 당국과 지속적으로 협력해 나갈 것"이라고 밝혔다.