국내 최대 전자상거래 업체인 쿠팡에서 약 3370만건의 고객 정보가 유출돼 충격을 주고 있다. 정보 유출 규모만 해도 역대 최대 과징금(1348억원) 처분을 받은 올해 SK텔레콤 개인정보 유출 사고(약 2324만명)보다도 크다. 쿠팡은 민감한 결제 정보와 신용카드 번호는 유출되지 않았다고 했다. 하지만 국내 대부분의 가정에서 쿠팡의 신속 배송 시스템을 이용하고 있는 터라 이름, 주소, 이메일 노출만으로도 범죄 악용에 대한 소비자의 불안감은 커질 수밖에 없다.
쿠팡의 부실 보안, 늑장 대처 실태는 예상을 훨씬 뛰어 넘었다. 우선 기존의 대규모 개인정보 유출 사례가 주로 외부 해킹에 의해 저질러진 데 반해 쿠팡은 내부자 개입 정황이 크다. 보도에 따르면 고객 정보는 쿠팡에 근무했던 중국 국적자가 빼돌린 것으로 알려졌다. 그가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 정보를 빼냈음이 드러났다. 쿠팡의 내부통제 시스템 및 인적 보안 체계가 총체적 부실 상태였다. 사후 대처도 한심한 수준이다. 쿠팡은 이번 유출이 지난 6월 중순 시작된 것으로 추정했다. 5개월여 전부터 고객 정보 탈취 시도가 발생했음에도 몰랐다는 얘기다. 정보 유출 피해 규모도 20일에는 4500여개라고 했다가 9일 만에 7500배가 뛴 3370만개로 재공지했다. 연 매출 40조원에 달하는 초대형 기업의 역량이라곤 믿기 힘들 정도다.
정부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 하지만 자고 일어나면 터지는 업계의 개인정보 유출 사태에 형식적 대응은 한계에 봉착했다. 올해만 해도 편의점(GS리테일)을 시작으로 디올·루이비통 등 명품 브랜드, 스포츠 브랜드(아디다스), 통신사(SKT, KT), 카드사(롯데카드) 등에서 정보 유출이 일어났다. 안 털린 곳을 찾기가 어려워 사회에 체념·무감각 현상까지 일 정도다. 실제 쿠팡 사태가 알려진 뒤 SNS에는 냉소적 반응과 함께 ‘우리 국민 개인정보는 세계 공공재’ 등 자조 섞인 글이 잇따르고 있다. 분노보다 무서운 게 여론의 무관심이란 점에서 이 같은 사회 현상은 위험 수위에 달했다고 봐야 한다.
보여주기식이 아닌 국민 눈높이에 맞는 특단의 대책을 강구해야 한다. 무엇보다 쿠팡의 보안 실패, 신고 지연 이유를 철저히 밝혀야 한다. 궁극적으로 징벌적 손해배상처럼 기업의 책임을 강하게 묻는 제도적 장치를 완비해야 할 때다. 정보 유출 사태가 잇따른 데 대한 정부의 감독 부재 여부도 점검해야 할 것이다. 정보 보안은 이제는 기업만의 문제가 아니라 경제와 민생에 긴밀히 연결된 사안이다. 정부와 기업은 사후약방문에 그치지 말고 보안 시스템 투자에 총력을 기울여야 한다. 정보 보호 능력이 기업과 국가의 신뢰도를 좌우하는 시대가 됐다.