스팸, 피싱 등 2차 범죄·상거래 불신 피해
정부·기업, 안보·산업 위험 해소책 내놔야

30일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 박대준 쿠팡대표가 회의장을 나서며 발언하고 있다. 연합뉴스

대한민국 성인 4분의 3에 해당하는 개인정보가 유출돼 온 국민에게 충격을 주고 있다. 국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡 고객 정보 3370만 건이 지난 6월부터 해외 서버로 빼돌려졌는데도 해당 업체는 깜깜이였다. 온라인으로 물품을 구매한 사용자의 이름과 이메일, 주소, 연락처 등 개인 식별 정보가 통째로 넘어갔으니, 시쳇말로 ‘다 털린 것’이다. 이 대목에서 캄보디아 보이스피싱 일당의 범죄 행각에 치를 떨던 악몽이 겹쳐 등골에 식은땀이 흐른다. 또 다른 사이버 악당들이 우리 국민의 신상을 속속들이 들여다보며 사기·폭력에 활용할 수도 있기 때문이다. 국민적 공분이 부족한 탓인지, 자괴감을 떨칠 수가 없다.

쿠팡 측의 보안 사고 대응은 실망스럽다. 쿠팡은 유출이 시작된 이후 5개월이나 지나서야 발견했다. 중국 국적 직원을 범인으로 지목했지만 이미 출국한 상태라 조사에 어려움을 겪었다. 그 사이 민감한 개인정보는 해외 서버로 옮겨졌고, 피해 규모는 처음 4500명에서 단기간에 7500배로 확대됐다. 그럼에도 쿠팡은 “결제·로그인 정보는 안전하다”며 책임 축소에 급급했다. 최근 해킹과 고의 반출을 통한 정보 유출이 통신(SK텔레콤·KT)과 카드사(롯데카드) 등 전 산업과 전 플랫폼으로 확산하고 있는데, 이들 사건에는 우려스러운 공통점이 있다. 범죄의 잠복과 뒤늦은 인지, 축소 급급으로 이어지는 패턴의 반복이다.

이번 쿠팡 사건은 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억 원) 처분을 받은 SK텔레콤(약 2324만 명)을 뛰어넘는 규모다. 문제는 이들 대기업이 ‘정보보호 관리체계(ISMS-P)’ 인증을 받았지만 실제 사고에 취약했다는 점이다. ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 운영하는 국내 유일의 정보보호 인증 제도다. 쿠팡은 2021년과 2024년 인증을 받았지만, 이 기간에 네 차례 유출이 있었다. 사고가 되풀이되면서 제도에 대한 신뢰 기반은 무너졌다. 인증 심사 및 사후 감시 체계의 강화 대책은 즉시 마련돼야 한다. 국민 보호뿐만 아니라 산업의 신뢰 회복에도 절실하다.

산업 전반의 정보보안 체계를 재정비해야 한다. 온 국민이 스팸, 피싱, 스토킹, 금융사기 등 2차 범죄 위험에 노출될 뿐만 아니라 국가 경제의 신뢰 기반도 흔들린다는 점을 간과해선 안 된다. 범국가적이고, 전 산업계를 대상으로 한 대책이 시급한 이유다. 정부는 뒤늦게 전수 조사와 과징금 부과에 나섰지만, 근본적 대책이라고 보기 어렵다. 우리 사회가 감내해야 할 정보보호의 기준을 높여야 한다. 기업은 고객의 정보 유출 방지에 기업 존립이 걸려 있다는 인식 전환이 필요하다. 정부는 이를 인권·안전 문제를 넘어 안보·산업에 직결되는 국가 인프라 리스크로 인식하고, 법·제도 정비와 거버넌스 체제 구축에 나서야 한다.