“제2의 사고 막아야”…이커머스 경계 강화
지마켓, 독립 클라우드·국내 서버 강조
[소셜밸류=한시은 기자] 최근 쿠팡에서 발생한 대규모 개인정보 유출 사고가 내부 보안 체계 부실에서 비롯됐다는 지적이 제기되면서 이커머스(전자상거래) 업계 전반의 정보보호 관리 실태에 대한 우려가 커지고 있다.
특히 업계 최고 수준의 보안 투자를 집행해 온 쿠팡에서 사고가 터지자, 상대적으로 정보보호 투자 규모가 적은 ‘C커머스(중국계 전자상거래 업체)’에 대한 경각심도 높아지는 분위기다.
 |
| ▲ 지마켓이 AI 기반 보안 체계 구축 등 개인정보 보호 역량을 확대하고 있다./사진=ChatGPT 생성. OpenAI 제공 |
2일 한국인터넷진흥원의 정보보호 공시에 따르면, 쿠팡의 지난해 정보기술(IT) 투자액은 1조9171억원으로, 이 중 정보보호 부문에는 890억원(4.6%)을 투입하고 있다. 정보보호 투자는 2021년 535억원, 2022년 639억원, 2023년 660억원으로 매년 증가해 최근 4년간 2700억원 이상이 집행됐다.
쿠팡의 정보보호 투자액 비중은 삼성전자와 KT 다음으로 높은 수준이다. 그러나 매출 대비 비율은 0.2%에 불과하다. 연매출 41조원에 달하는 ‘유통 공룡’의 외형에 비하면 보안 투자가 미흡하다는 평가가 나온다.
특히 매출 대비 정보보호 투자 비율은 0.4% 수준인 네이버보다도 낮다. 국내 이커머스 시장에서 쿠팡과 양강 구도를 이루는 네이버는 자체 개발한 보안 시스템 비중이 커 외부 투자액이 적게 반영되는 점을 고려하면, 쿠팡이 상대적으로 뒤처진다는 지적이다.
◆ 내부 보안 허점이 원인…C커머스로 번지는 불신
이번 유출 사고는 쿠팡을 퇴사한 중국 국적 개발자 A씨가 고객 인증 시스템 접근 권한을 악용해 3370만건의 정보를 탈취한 것이 원인으로 파악됐다. 쿠팡이 퇴사자 계정의 보안 토큰 생성에 필요한 서명키를 즉시 갱신하거나 삭제하지 않고 방치한 점이 결정적 취약점으로 꼽혔다.
업계에서는 가장 기본적인 내부 보안 절차조차 지켜지지 않은 조직적 문제라는 비판이 제기된다. 사고 이후 보안 리스크에 대한 경계심이 커지면서, 시선은 자연스럽게 중국발 이커머스 플랫폼으로 향하고 있다.
국내에서 빠르게 영향력을 넓히는 C커머스의 낮은 정보보호 투자 수준이 또 다른 사고로 이어질 수 있다는 우려에서다.
◆ G마켓, 보안 우려 속 ‘철저한 국내 관리’ 강조
최근 알리바바인터내셔널과 손잡고 합작법인을 설립한 G마켓(지마켓)도 보안 강화에 주력하는 모습을 보이고 있다.
지마켓의 지난해 정보기술(IT) 투자액은 약 1357억원으로, 이 중 정보보호 부문 투자액은 150억원(11%) 수준이다. 정보보호 투자는 2021년 105억원, 2022년 135억원, 2023년 143억원, 2024년 150억원으로 꾸준히 늘어 3년간 약 42% 증가했다.
지마켓은 기술 투자 확대에 맞춰 개인정보 보호 수준도 한층 끌어올리고 있다. 지난달 개최한 미디어데이에서 AI 기술 도입과 데이터 처리 전 과정에서 개인정보 보호를 최우선 원칙으로 삼겠다는 방침을 밝혔다.
당시 김정우 지마켓 PX본부장은 “AI 학습에 필요한 데이터는 지마켓 독립 클라우드에 저장되고 모든 처리는 국내 서버에서 이뤄진다”며 “개인을 식별할 수 있는 정보는 포함되지 않으며, 접근 권한 관리와 암호화 등 보안 통제 체계를 글로벌 최고 기준으로 유지하겠다”고 말했다.
지마켓은 최근 쿠팡 개인정보 유출 사고 이후 긴급 보안점검을 진행했고, 후속 보안 강화 방안도 검토 중인 것으로 알려졌다. 국내 기업과 해외 플랫폼의 결합 구조를 고려할 때 고객 정보가 해외로 유출될 수 있다는 소비자 우려를 선제적으로 차단하려는 조치로 풀이된다.
[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]
