연매출 0.2%만 보안투자...쿠팡, 개인 정보유출 자초[이커머스 보안 쇼크]

▲국내 이커머스 시장 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 정보 유출 사고가 발생하면서 소비자들의 불안이 커지고 있다. 30일 유통업계에 따르면 쿠팡은 전날 오후 고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다고 공지했다. 쿠팡은 이 사고를 18일 인지하고 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 이날 서울 송파구 쿠팡 본사 모습. 조현호 기자 hyunho@

국내 1위 이커머스 플랫폼 쿠팡의 대규모 개인정보 유출 사태에 대한 근본적 원인에 전 국민의 시선이 쏠리고 있다. 이번 사태로 소비자 신뢰에 직격탄을 입은 쿠팡은 9개 분기 연속 20% 안팎의 매출 성장세를 이어갔지만, 정작 중요한 정보 보안투자에는 인색했던 것으로 분석됐다.

1일 쿠팡의 실적 보고서 및 한국인터넷진흥원(KISA) 정보보호통계 등에 따르면 쿠팡의 지난해 연 매출은 약 42조 원(317억 달러)이었지만, 같은 기간 쿠팡이 정보보안 부문에 투자한 규모는 889억 원에 그쳤다. 이는 연 매출의 약 0.2%에 불과하다.

앞서 쿠팡이 미국 나스닥에 상장한 2021년 연간 총 매출은 20조 원대(184억 달러)였다. 이후 3년 간 쿠팡의 매출 100% 이상 성장했고 같은 기간 활성고객 수도 1794만 명에서 약 2500만 명으로 급증했다. 일명 '이마롯쿠(이마트, 롯데마트, 쿠팡)'란 신조어가 나올 정도로, 쿠팡은 온·오프라인 유통 시장의 절대 강자로 성장했다. 그러나 쿠팡이 KISA에 제출한 연간 정보보안 투자 추이를 보면 △2021년 534억 원 △2022년 639억원 △2023년 659억 원 △2024년 889억 원에 그쳤다. 3년 간 정보보안 투자 증가분은 300억 원대에 머무른 것이다.

물론 쿠팡은 이 기간 정보ㆍIT부문에 비용을 적극 투입하긴 했다. 그러나 그 방향성은 정보보안 보다는 모객을 위한 플랫폼 편의성 개발에 치중한 것으로 드러났다. KISA 공시에 따르면 쿠팡의 전체 정보기술 부문 투자액은 2021년 749억 원에서 2024년 1조9000억 원으로 대폭 늘었다. 그러나 해당 투자액 중 정보보호 부문은 전년 대비 7.1%에서 4.6%로 오히려 줄어든 양상이었다.

쿠팡의 정보보호 전담 인력도 200명 안팎에 그쳐, 연간 거래액과 매출액에 대비 상당히 소규모라는 평가다. 쿠팡 정보보호 전담 인력은 △2021년 170명 △2022년 167명 △2023년 190명 △2024년 211명에 불과하다.

이처럼 쿠팡의 대규모 개인정보 유출 사태의 원인은 급속히 성장한 회사 규모 대비 소홀했던 서버 관리, 접근통제 시스템 문제 등 정보보안 투자 부족에서 비롯됐다는 주장이 힘을 얻는다. 이번 사태가 쿠팡의 자체 서버 인증 취약점을 잘 아는 퇴사한 '내부 직원' 소행이었다는 점도 문제다. 내부 시스템 관리·감독 시스템 체계 보완을 위해 외부 보안전문기관 자문과 정기 감사 도입 필요성도 커지는 상황이다.

쿠팡은 이날 자사 홈페이지에 "고객 여러분께 심려와 걱정을 끼쳐드려 진심으로 사과드린다"는 내용의 메시지를 이번 사태 이후 처음 공지했다. 전날 박대준 쿠팡 대표이사도 "민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하겠다"고 대국민 사과했다.