잊을만하면 터지는 개인정보 유출사고⋯유통업계, 투자·인력 2배 늘렸지만 ‘사각지대’ 여전

유통업체 5개사 정보보호 투자ㆍ인력 늘렸지만
식음료 배달서비스 확대에 개인정보 유출 위험↑

(유하영 기자·오픈AI 달리)

쿠팡, CJ올리브영 등 개인정보 유출로 진통을 겪었던 기업들이 개인정보보호부문 투자와 전담인력을 확대한 것으로 나타났다. 하지만 최근 들어 파파존스, 써브웨이 등 정보보호 공시 의무 대상이 아닌 기업들에서도 개인정보보호 허점이 잇따라 드러나면서 사각지대가 여전하다는 지적이 제기된다.

5일 한국인터넷진흥원(KISA)의 정보보호 공시 종합 포털에 따르면 지난해 말 기준 쿠팡, 네이버, 신세계, CJ올리브영, GS리테일 등 5개 유통업체는 지난해 말 기준 정보보호부문 투자액에 총 1568억 원을 투입한 것으로 집계됐다. 이는 전년(1173억 원) 대비 33.7% 증가한 수준이다. 전담 인력도 같은 기간 354명에서 389명으로 10% 늘었다.

개별 기업으로 보면 GS리테일의 정보보호부문 투자액이 35억 원에서 78억 원으로 약 두 배(122.9%) 확대돼 가장 큰 폭으로 증가했다. 이어 네이버(32.6%), 쿠팡(30.5%), CJ올리브영(28.9%), 신세계(17.4%) 순으로 집계됐다. 정보보호부문 전담 인력은 CJ올리브영이 52%로 가장 크게 늘었고 신세계(30%), GS리테일(24%), 쿠팡(13%) 순으로 나타났다. 네이버의 경우, 내부인력이 2명 늘고 외주인력이 1명 줄면서 총 전담 인력은 1년 새 한 명이 증가했다.

이 같은 투자·인력 확대는 정보보호 부문을 강화하고 유통업체의 개인정보보호 역량에 대한 불신을 해소하기 위한 움직임으로 풀이된다. 이들 5개 기업은 모두 과거에 고객 개인정보가 유출되는 사고가 발생했던 기업들이다.

GS리테일은 올 1월 편의점 GS25 홈페이지가 해킹 공격을 받아 9만여 건의 개인정보가 유출됐다. 이후 한 달여 만인 2월에는 홈쇼핑 업체 GS샵에서 약 158만 건의 고객 개인정보가 유출된 정황이 드러났다. 앞서 쿠팡에서는 2023년 약 2만여 명의 판매자시스템 고객 주문정보가 유출된 사고 등으로 16억 원에 이르는 과징금·과태료를 부과받은 바 있다. 같은 해 2월에는 CJ올리브영 회원의 이름, 프로필 사진, 회원 등급, 배송지 주소 등이 유출됐다.

개인정보 유출 사고에 대한 소비자의 불신은 지난해 이뤄진 조사 결과에서도 드러났다. 한국소비자원이 지난해 10월 조사한 만족도 결과에 따르면 이커머스 유료 멤버십 3사(쿠팡, 네이버, 신세계)도 고객서비스 세부 요인 중 ‘개인정보보호’에 대한 만족도가 가장 낮은 것으로 집계됐다. 반면 앱, 사이트의 편의성에 대한 만족도는 높았다. 플랫폼을 이용하는 고객들이 효율성은 높게 평가하지만, 개인정보가 안전히 보호된다고 느끼진 않는다는 의미다.

유통업체들은 사후 관리를 통해 개인정보 유출 사고가 반복되지 않게 한다는 입장이다. 특히 GS리테일은 올 초 사고 발생 후 사내에 ‘정보보안 대책위원회’를 구성했다. GS리테일 관계자는 “주요 임원과 외부 전문가들이 자문위원으로 참여하는 정보 보안 대책 위원회를 통해 모든 업무 영역에서 정보보안을 최우선으로 고려하는 체계를 구축했다”고 설명했다.

그러나 사각지대는 여전하다. 정보보호 공시 의무 대상이 아닌 중소형 식음료 기업들도 배달 서비스를 시작하면서 카드번호 등 민감한 개인정보를 수집하고 있기 때문이다. 정보보호 공시 종합 포털에 따르면 공시 ‘의무’ 대상은 상장법인 중 매출액 3000억 이상 기업, 정보통신서비스 일일 평균 이용자 수 100만 명 이상(전년도 말 직전 3개월간)인 기업이다.

최근 파파존스와 써브웨이에서 발생한 개인정보 유출 사고가 그 사례다. 최근 두 사고 모두 홈페이지 URL 주소의 뒷자리 숫자를 변경하는 경우 고객의 연락처, 주문내역 등이 별도의 인증절차 없이 확인 가능한 상태로 운영되면서 정보가 노출된 것으로 나타났다.

김형중 전 고려대 정보보호대학원 교수는 “배달 서비스가 활성화되면서 개인정보를 수집하는 기업들이 늘어났다”며 “개인정보보호가 필요한 기업의 범위가 넓어진 만큼 기업들은 관련 투자, 인력 등에 신경 써야 한다”고 지적했다.