최근 유통·플랫폼 업계에서 개인정보 유출 사고가 잇따르면서 소비자 불안이 커지고 있다. 업계 안팎에서는 단순히 해킹 사고 건수 증가만이 문제가 아니라 유통업계가 해커들에게 매력적인 데이터를 대량 보유하고 있는 반면, 사고 이후 기업이 감수하는 실질적 부담은 상대적으로 크지 않은 구조가 반복적인 사고의 배경이라는 지적이 나온다.
10일 관련 업계에 따르면 지난 5일 CU편의점 택배 서비스를 운영하는 BGF네트웍스는 CUPOST 홈페이지를 통해 해커가 시스템에 비인가로 접근해 개인정보를 유출한 정황을 확인했다고 공지했다. BGF네트웍스에 따르면 유출된 개인정보는 이름과 휴대전화 번호, 이메일, 주소, 성별, 아이디, 비밀번호 등이다. 정확한 유출 규모는 내부 조사 중이다. 경찰청 국가수사본부 사이버테러 대응과도 입건 전 조사(내사)에 착수했다. 정보 유출 과정과 피해 범위를 확인하고 피혐의자 특정과 추적에 필요한 절차를 진행할 예정이다.
지난 3일에는 CJ ENM의 온라인동영상서비스(OTT) 플랫폼 티빙에서도 해킹에 따른 개인정보 유출 정황이 확인됐다. 앞서 지난해 11월에는 쿠팡에서 고객 계정 약 3370만건 규모의 대규모 개인정보 노출 사고가 발생하며 큰 사회적 파장이 일었다. 개인정보보호위원회는 이날(10일) 전체 회의를 열고 쿠팡 개인정보 유출 사건 제재안을 심의한다.
일반 소비자들은 카드번호나 계좌 정보 유출을 더 위험하게 생각하지만 유통기업들이 보유한 이름, 전화번호, 주소, 생년월일, 구매 이력, 배송 정보 등이 결합한 데이터도 유출 시 피해가 큰 데이터다. 임종인 고려대 정보보호대학원 명예교수는 "유통 플랫폼이 보유한 정보는 다크웹 등에서 거래될 때 가치가 있는 데이터"라며 "결국 돈이 되기 때문에 공격 대상이 되는 것"이라고 했다.
유통업체들은 단순한 연락처 정보뿐 아니라 소비자의 생활 패턴 데이터까지 보유하고 있다. 이커머스(전자 상거래) 업체는 구매 이력과 결제 패턴을, 택배 플랫폼은 배송지와 주소 정보를, OTT는 시청 이력과 콘텐츠 소비 성향을 축적한다. 어떤 브랜드를 선호하는지, 어느 지역에 거주하는지, 언제 무엇을 구매하는지까지 파악할 수 있는 셈이다.
최경진 가천대 법학과 교수는 유통 데이터가 해커들의 주요 표적이 되는 이유로 '최신성'을 꼽았다. 그는 "개인정보를 탈취하는 목적은 금융사기나 피싱 범죄에 활용하기 위한 경우도 있지만, 광고·마케팅 시장에서의 활용 가치도 크다"며 "유통 데이터는 배송과 결제를 위해 이용자가 가장 최근 정보로 지속적으로 갱신하는 데이터이기 때문에 정확도가 높고 가치도 높다"고 했다. 그는 이어 "전화번호나 주소가 실제 이용자 정보와 정확하게 연결돼 있는 경우가 많아 다른 분야 데이터보다 활용 가치가 높다"며 "정확한 정보일수록 불법 암시장에서 더 비싸게 거래된다"고 덧붙였다.
최근 티빙과 CU 택배 사고에서 유출된 것으로 알려진 CI(연계 정보)와 DI(중복 가입 확인 정보) 역시 보안 업계에서는 민감한 정보로 분류된다. CI와 DI는 여러 플랫폼에서 동일인을 식별하기 위해 활용되는 정보로, 다른 개인정보와 결합할 경우 표적형 피싱이나 명의도용 범죄에 악용될 수 있다.
일각에서는 유통업계가 보유한 데이터 규모에 비해 보안 투자 우선순위가 상대적으로 낮았다는 지적이 나온다. 금융권은 강력한 규제와 감독 체계 아래 보안 투자가 필수지만 유통업계는 서비스 확대와 고객 편의성 향상에 집중해 왔다는 것이다. 최 교수는 "사업 초기 단계에서는 개인정보 보호 투자에 대한 체감 효과가 크지 않다고 판단해 서비스 개발이나 고객 편의성에 더 많은 자원이 투입되는 경우가 적지 않다"며 "개인정보 보호가 사업의 기본값으로 자리 잡을 수 있도록 경영진 인식 변화와 함께 정책적 지원이 필요하다"고 했다.
다만 유통업계는 보안 투자를 늘리고 있다는 입장이다. 유통업계 관계자는 "최근 개인정보 유출 사고가 잇따르면서 보안 관련 투자와 관리 강화는 업계 전반의 공통 과제가 됐다"며 "대기업들은 이미 상당한 비용을 들여 보안 체계를 운영하고 있다. 고객 정보 유출은 브랜드 신뢰도 하락과 과징금, 고객 이탈 등 2차·3차 피해로 이어질 수 있기 때문에 보안 강화에 지속적으로 투자하고 있다"고 했다.
◇ 개보위 "과징금 지속 상향... 분야별 실태 점검 강화"
그럼에도 반복적인 사고가 이어지는 배경에는 기업이 체감하는 실질적 피해가 제한적이라는 점도 꼽힌다. 개인정보 유출 사고가 발생하면 주가 하락, 소비자 비판 및 불매운동이 이어지지만 상당수 기업은 시간이 지나면 이용자 수와 매출이 회복되는 모습이 나타난다. 일례로 쿠팡은 지난해 대규모 개인정보 유출 사고 이후 월간활성이용자수(MAU)가 일시적으로 감소했지만 수개월 만에 사고 이전 수준을 회복했다. 와우 멤버십을 탈퇴했던 이용자 상당수도 다시 가입한 것으로 전해졌다. 쿠팡 모회사인 미국 쿠팡Inc의 김범석 의장은 지난달 6일 1분기 실적 발표 컨퍼런스 콜에서 "프로덕트 커머스 매출 성장률은 지난 1월이 최저점이었다가 이후 매달 전년 대비 실적이 개선되고 있다"고 했다. 그는 개인정보 유출 사고 이후에도 대다수 기존 고객이 이탈하지 않았고 와우 멤버십 탈퇴 회원의 약 80%가 재가입했다는 설명을 덧붙였다.
개인정보보호위원회는 제재 강화를 위해 과징금을 지속적으로 상향하고 있다는 입장이다. 개인정보보호위원회 관계자는 "현재 매출액 기준 과징금 제도를 운영하고 있으며 앞으로는 상한이 현행 3%에서 10%까지 높아질 예정"이라며 "또한 개인정보 보호 체계를 사후 대응 중심에서 예방 중심으로 전환하기 위해 노력하고 있다. 분야별 실태 점검과 예방 활동을 더욱 촘촘하게 진행할 예정"이라고 했다.
일각에선 과징금 중심의 접근만으로는 한계가 있다는 지적도 나온다. 임종인 교수는 "국가 정보기관이나 글로벌 통신사도 해킹을 피하지 못하는 상황에서 개인정보 유출 발생 자체만으로 기업을 비난하고 과징금만 강화하는 방식에는 한계가 있다"며 "중요한 것은 사고 원인을 분석해 다른 기업들이 같은 피해를 겪지 않도록 돕고 예방 역량을 높이는 것"이라고 했다. 그러면서 "해킹은 이제 특정 업종만의 문제가 아니라 모든 산업이 직면한 위험"이라며 "제재와 처벌뿐 아니라 기업의 보안 투자와 정보 공유를 유도하는 지원 정책도 함께 논의될 필요가 있다"고 덧붙였다.