쿠팡 개인정보 유출 사태는 규모와 수법을 비교했을 때 전례가 없다는 평가가 나온다. 정보 유출 관련 대형 사고들이 대부분 외부 침입 형태였다면 이번 사고는 내부자 소행이라는 점이 가장 큰 특징이다. 정보보호 전문가는 개인정보 취급자에 대한 허술한 관리를 사태 원인으로 지적했다.
30일 염흥열 순천향대 정보보호학과 교수는 전자신문과 통화에서 “국민 생활과 밀접하게 연관된 정보가 경제활동을 영위하는 인구 수에 준할 만큼 대규모로 유출된 전례없는 사태”라며 “외부 침입 대비 만큼이나 내부 정보 취급자에 대한 관리 체계도 강화될 필요가 있다”고 지적했다.
정보 유출 사고는 △외부자에 의한 내부 시스템 침투(해킹) △제3의 외부 기관에 보관한 공공 시스템 침투 △내부자에 의한 정보 유출로 분류된다. 대개 정보 유출 사고는 외부자에 의한 침투가 대부분이다. 과거 3500만명의 회원 정보가 유출된 네이트·싸이월드 사고나 최근에 발생한 SK텔레콤 유심 정보 유출 등 과거 사고 또한 외부 침입이라는 점을 감안했을 때 이번 쿠팡 사태는 이례적이라는 평가다.
염 교수는 “개인정보보호법에는 개인정보 취급자에 대한 관리 의무를 명시하고 있다”며 “보통 개인정보 취급자의 외부 유출을 막기 위해 대용량 저장 장치 다운로드를 제한하는 등 물리적 조치를 취하는 데 최초 시도 이후 5개월 만에 신고가 이뤄졌다는 점이 의문”이라고 지적했다.
그는 철저한 추가 조사와 재발 방지 조치가 필요하다고 강조했다. “내부 정보 취급 체계가 갖춰졌는지, 모니터링이 부족했는 지에 대해 민관 합동 조사단이 살펴봐야 할 것”이라며 “개인 정보 취급자에 대한 보안 허점이 없는지 정책적으로 강화할 필요성이 있다”고 말했다.
유출된 정보가 소비자 라이프스타일과 밀접한 데이터라는 점에도 주목했다. 쿠팡에 따르면 노출된 정보는 이름, 이메일 주소, 배송지 주소록(이름·전화번호·주소), 일부 주문정보 등이다.
염 교수는 “유통·물류업을 영위하는 회사의 고객 정보인 만큼 주소와 최근 주문 정보 등의 데이터가 담겨 있는 점이 가장 걸린다”며 “특히 아파트 공동 현관 비밀번호 등은 물리적 접근을 통한 2차 피해가 발생할 우려가 있어 민감한 부분”이라고 말했다.
다만 피해가 확산할 가능성에 대해서는 신중한 시각을 제시했다. 염 교수는 “내부 직원 소행이라면 정보 데이터베이스마다 접근할 수 있는 권한이 제한적이었을 것”이라며 “계정 정보, 결제 정보 등은 데이터베이스를 다르게 저장하는 것이 일반적인 만큼 소비자가 우려하는 2차 피해 가능성은 상대적으로 낮다“고 내다봤다.
이번 사태를 계기로 전 산업에 걸쳐 정보 보호 체계를 다시 한번 점검해야 한다는 제언도 덧붙였다. 염 교수는 “쿠팡은 개인정보 보호 관리 체계 등이 경쟁사 대비 높게 운영되고 있다는 평가를 받아 왔다”며 “내부 보안 관리에 우리나라 전체적으로 신경을 쓸 필요성이 있다”고 조언했다.
민경하 기자 maxkh@etnews.com
