데일리임팩트

[데일리임팩트 황재희 기자] 이커머스 업계가 개인정보 유출로 곤혹을 치르고 있다. 
올해 들어 지마켓, 인터파크 등에서 사용자 아이디와 비밀번호를 도용해 로그인을 시도한 사건이 발생한 것. 이커머스 업계는 '신속한 대응'을 강조하면서 몸을 낮추는 기색이지만, 내심 피해 사례가 확산될까 노심초사하는 분위기다. 

IT업계 일각에서는 "예정된 사태"라는 지적이 나온다. 성장에 골몰해 온 이커머스 업계가 정작 소비자 보호를 위한 투자에 소홀했기 때문이다.  

26일 업계에 따르면, 인터파크는 지난 10일 안내 공지문을 띄웠다. "신원 불상의 자로부터 사전 수집된 계정 정보를 이용한 로그인 시도가 발생했다"는 사실을 알리기 위해서다. 이번 사고로 이메일은 물론 성별, 생년월일, 전화번호, 주소 같은 민감한 개인정보 일부가 유출됐을 가능성이 높다. 

지마켓에서도 설 연휴를 앞두고 지난 18일 계정 도용 피해 사례가 발생했다. 온라인 커뮤니티에는 지마켓에서 구매한 미사용 전자 문화상품권이 사용되거나 간편결제 서비스인 스마일페이 결제 시도가 있었다는 글들이 쏟아졌다. '탈퇴 선언'이 줄을 잇자 사용자가 피해를 인지한 지 이틀이 지난 20일에야 공식 사과했다. 

인터파크, 지마켓에서 발생한 사고는 크리덴셜 스터핑 공격으로 인한 것으로 추정되고 있다. 크리덴셜 스터핑은 해커가 유출됐거나 탈취한 이용자의 아이디와 비밀번호를 무작위로 여러 웹 사이트나 앱에 로그인해 계정 정보를 빼내는 수법이다. 동일한 아이디와 비밀번호를 쓰는 다른 웹사이트가 발견되면 사용자의 정보가 빼낸다.  

LG유플러스가 18만명에 이르는 대규모 개인정보 유출이 일어난 뒤라, 인터파크와 지마켓의 사고는 비교적 조용히 수습되는 분위기다. 해당 업체들도 모두 개인정보보호위원화, 한국인터넷진흥원에 피해 사실을 신고하는 등 피해 최소화를 위해 노력하고 있음을 강조하면서 국면이 전환되길 바라는 눈치다. 

지마켓 관계자는 데일리임팩트에 "설 연휴 전에 개인정보 도용 의심 신고가 들아와 문제가 되는 개인 계정에 신속 조치를 취한 후, 설 연휴 기간에도 개인정보 피해 사례에 즉시 대응하고자 고객센터를 비상 운영했다"며 "현재 상세한 피해 규모를 집계 중이며 1차 확인되는 대로 피해 보상 등을 신속히 실시할 예정"이라고 했다.

문제는 업체들이 최고 공격 시점을 특정하지 못할 뿐더러 개인정보 유출 시기와 규모도 파악하지 못하고 있다는 점이다. 일례로 지마켓은 스마일페이 피해 사례가 없다는 입장이지만 안심하긴 이르다는 주장이 제기된다. 설 연휴 소비자단체를 통해서만 50건 이상의 피해 시례가 접수됐고, 현재도 신고 건수가 늘어나고 있어서다.

익명을 요구한 IT업계 관계자는 데일리임팩트에 "인터파크는 예전에도 개인정보 유출로 피해보상까지 했는데 또 사고가 터졌다는 건 상시 모니터링 체계가 제대로 작동하지 않았다는 것"이라며 "다른 이커머스 업체들도 개인정보 유출이 빈번한데, 인터넷 서비스로 수익을 올리면서 정보보안이라는 의무를 소홀히 했다는 점에서 문제의식을 가져야 한다"고 꼬집었다. 

유통업계에서 개인정보 유출은 이례적인 일이 아니다. 호텔신라는 이달에만 2번 정보 유출이 있었다. 지난 3일 프로모션을 알리는 이메일을 보내면서 168명의 수신인 이메일 주소가 노출됐다. 그리고 열흘 만에 통합 멤버십 서비스인 신라리워즈 회원에게 뉴스레터를 발송하면서 9만9344건의 정보가 유출됐다. 

특히 온라인 전환이 속도를 내던 2021년부터 2022년까지 사고가 유독 많았다. 패션 플랫폼 브랜디, 배달앱 쿠팡이츠, 샤넬코리아, 몽클레어 등에서도 개인정보가 새나갔다. 명품플랫폼 발란에선 지난해 3월 162만명의 개인정보가 유출돼 5억1259억원의 과징금과 1440만원의 과태료를 부과받았다. 정보보안 구축에 미진했다는 지적이 끊이지 않는 이유가 여기에 있다. 의심 상황 발생시, 휴대폰 인증 등 2차 프로세스를 적용하는 등 보안체계를 강화하고 있지만 미흡하다는 지적이다. 

현재 정보보호 최고책임자(CISO)를 지정해야 하는 매출액 3000억원 이상의 상장법인이나 3개월간 서비스의 일일 평균 이용자 수가 100만명 이상일 경우, 정보보호 공시제도를 통해 기업의 정보보호 현황을 공개하도록 규정하고 있다. 

지난해 정보보호 현황에 따르면 지마켓의 정보보호부문 투자액이 약 105억원으로 전체 IT 투자액에서 10.44%에 그쳤다. 정보보호부문 전담인력도 총 37명으로 전체 IT인력의 8.55%에 불과했다. 인터파크는 정보보호를 위해 약 26억원을 썼다. 전체 IT 투자액의 10.31% 수준이다. 전담인력은 29명으로 전체 IT 인력의 9.45%였다. 

이커머스 1위 업체라고 다르지 않다. 쿠팡은 정보보호에 약 534억원으로 썼다. 전체 IT 투자액 7.1%만 정보보안을 위해 사용한 셈이다. 전담인력 역시 170여명으로 전체 IT 인력의 7.41%에 불과했다. 이마저도 3분의 3 가량은 외주 인력이다. 

그렇다 보니  개인정보 유출 사고가 재발하는 경우도 심심치 않다. 인터파크는 앞서 지난 2016년 1030만명의 개인정보를 유출해 44억원의 과징금을 부과 받은 데 이어, 회원 2400여명에게 1인당 10만원씩 배상했다.

디지털 전환이 속도를 내면서 유통업계는 온라인 몰을 강화 중이다. 자사 웹 사이트와 앱을 구축하고 유료 멤버십을 적용하는 추세다. 일부는 킬러콘텐츠를 지닌 이커머스 업체를 사들여 고객 접점을 늘려가기도 한다. 향후 정보보안에 노출될 가능성이 더 커진 셈이다.

한 IT 개발자는 데일리임팩트에 "규모가 큰 유통업체들이 프로모션을 위해 사용하는 금액보다 적은 액수를 정보보안에 쓰는 걸 보면서 '현타'가 왔다"며 "보안상 취약점이 드러났을 때 집중 공격 대상이 될 수 있고, 인터넷 서비스 기업으로서 '강점'을 잃게 되는 것"이라고 말했다. 이어 "해외 빅테크들이 정보보안을 위해 왜 많은 돈을 쓰는지 진심으로 이해하지 못한다는 느낌을 받을 때도 있다"면서 "담당자 교육이나 인력 충원만으로는 안 된다. 전사 차원에서 정보보안 체계를 단계적으로 강화해나갈 방안을 수립, 추진헤야 한다"고 밝혔다.