글로벌 테크 유통기업을 표방하는 이커머스(전자 상거래) 기업 '쿠팡'의 보안 투자 규모는 전체 매출의 0.2% 수준인 것으로 집계됐다. 이는 글로벌 테크 기업과 비교하면 낮은 수준이다.
◇ 글로벌 테크 기업 대비 보안 투자 비중 낮아
3일 유통업계에 따르면 지난해 쿠팡의 매출 대비 보안업계 투자액은 0.2% 수준인 것으로 집계됐다. 쿠팡의 지난해 매출은 302억6800만달러였다. 지난 2월 미 달러화 대비 원화 환율을 적용해 계산한 매출은 41조2901억원 수준인데, 이 중 쿠팡은 860억원을 보안 체계에 투자한 것으로 집계됐다.
이는 글로벌 테크기업 대비 낮은 수준이다. 이커머스 기업 아마존의 2023년 기준 매출액은 5748억달러(약 845조원)였고, 이 중 보안 고도화 등을 위한 투자액이 연간 최소 60억 달러(8조9000억원) 수준인 것으로 추산됐다. 매출 대비 투자액은 약 1% 수준이었다. 마이크로소프트나 구글, JP모건도 전체 매출 대비 약 1.0~1.9%를 투자하고 있다.
쿠팡의 매출 대비 보안 투자액은 국내 경쟁사와 비교해서도 낮은 편이었다. 한국인터넷진흥원에 따르면 지난해 기준 이마트(139480)는 약 60억원을 정보 보호 분야에 투자했다. 지난해 매출액은 약 29조원 수준으로 매출 대비 약 0.2% 수준이었다. 롯데쇼핑(023530)은 72억원을 보안 분야에 투자했다. 매출 대비 비중은 약 0.5% 수준이다.
유통업계에서는 쿠팡의 보안 투자 규모가 매출 대비 낮은 이유는 매출이 급속도로 커졌기 때문이라고 본다. 쿠팡의 매출액은 2020년 만해도 13조9235억원 수준이었는데, 5년 새 3배가 됐다. 유통업계 관계자는 "조직이 급속도로 크는 과정에서 내부 투자가 미흡했다고 봐야 한다"고 했다.
보안 투자를 비용으로 보는 문화 때문이라는 지적도 나왔다. 정보보호 분야에서 문제가 생겨도 과징금이 크지 않기 때문이다. 국회 정무위원회 소속 김남근 더불어민주당 의원실에 따르면 2020년 8월부터 올해 9월까지 모두 1억916만4950건의 개인정보가 유출됐고 누적 과징금은 3671억1595만6000원이었다. 건당 과징금은 약 3360원 수준이었다. 개인정보보호법에 따르면 개인정보 유출 시 전체 매출의 최대 3%까지 과징금을 부과할 수 있다. 다만, 유출 사안과 무관한 매출액은 산정 기준에서 제외될 수 있다.
한 보안업계 관계자는 "지난해 초 GS리테일에서 개인정보가 대량으로 유출됐을 때, 유통사들이 앞다퉈 정보보안 분야에 투자할 것을 기대했지만 그런 일은 일어나지 않았다"면서 "당장 생존하고 성장하기도 바쁜데 생기지도 않은 일, 생겨도 별일 아닌 일에 비용을 투자하자는 목소리를 내기 어려운 구조기 때문"이라고 했다.
◇ "내부 통제 부실 탓" 목소리도
유통업계에서는 쿠팡의 개인정보 유출 사고는 절대적인 투자액과 상관없이 내부 통제에 문제가 있어 생긴 일이라는 점에 주목해야 한다고 본다. 쿠팡의 인증 업무를 하던 직원이 퇴사를 했는데도 보안 토큰이 그대로 유지되면서 생긴 일인 탓이다. 오히려 보안 분야에 쓴 절대액 자체는 작지 않다는 점에서 헛돈을 썼다는 점이 문제라는 지적이 나온다.
한 유통업계 관계자는 "현관문을 철문으로 바꾸고 금테를 두른다고 해도 열쇠가 그대로라면 보안이 뚫릴 수밖에 없다"면서 "투자액이 문제가 아니라 내부 매뉴얼 자체가 잘못됐다고 봐야 한다"고 했다. 김환국 국민대 정보보안암호수학과 교수도 "기업이 퇴사자의 계정이나 권한을 모두 말소시키는 게 일반적인데 의아하다"고 했다. 김승주 고려대 정보보호대학원 교수는 "이번 사태의 핵심 원인은 내부 직원 통제 실패"라고 했다.