이커머스 업계가 개인정보 유출 논란으로 몸살을 앓고 있다. 지난 1월 G마켓에서 상품권 무단 도용 사건이 발생한데 이어 인터파크도 해커로부터 사이버 공격을 당했다. 최근에는 이커머스 업계 1위인 쿠팡까지 개인정보 유출 의혹에 휩싸였다.
업체들은 사태 수습을 위해 인증 절차 강화 등의 대응책을 잇따라 내놓고 있지만 정보 보호를 소홀히했다는 비판은 피하기 어려운 상황이다. 개인정보 유출에 따른 2차 피해 우려도 확산되면서 개인정보 보호 및 대책 마련이 시급하다는 목소리가 커지고 있다.
22일 업계에 따르면 전날 한 언론은 쿠팡이 고객 개인정보 46만건이 유출돼 다크웹 해킹포럼에서 거래되는 것을 알면서도 이를 은폐하려는 의혹이 있었다고 보도했다.
쿠팡에서 물품을 거래한 고객의 개인정보 46만건이 유출돼 다크웹 해킹포럼 누리집에서 거래되고 있는데도 두 달 가까이 정보보호 당국과 고객들에게 숨겨왔다는 것이다. 또 쿠팡이 고객 개인정보를 탈취한 해커와 신분을 숨길 수 있는 암호화 이메일(프로톤 이메일)로 접촉을 시도한 정황도 있던 것으로 전해졌다.
이와 관련해 쿠팡 측은 개인정보 유출은 일체 없었다고 반박했다. 쿠팡 관계자는 쿠키뉴스에 “쿠팡의 서버와 네트워크는 안전하다”며 “쿠팡은 지금까지 사이버 공격을 받은 적이 없으며, 어떠한 고객 정보도 유출된 적이 없다”고 말했다. 또 “사실과 다른 부분이 많아 확인이 필요하다”고 덧붙였다.
해당 사건을 다루고 있는 개인정보보호위원회는 사실 관계를 확인 중이다. 개인정보위 관계자는 “유출된 개인정보의 출처 확인과 유출 경위, 규모 등을 검토하고 있다”며 “유출 관련 책임이 있는 개인정보처리자가 확인되면 개인정보 보호법 위반 조사에 착수할 계획”이라고 밝혔다.
이커머스 계정 도용 피해가 증가하면서 소비자들의 불안감은 확산되고 있다. 한 온라인 커뮤니티에는 ‘법이 약하니 개인정보 털어가고 팔지’, ‘저 46만개에 내 정보는 안들어가 있길 기도함’ 등의 댓글이 달리기도 했다.
전문가는 이커머스의 개인 정보 유출과 관련해 업체들의 자율 규제 강화 및 시스템 개선이 필요하다고 강조했다.
임종인 고려대 정보보호대학원 석좌교수는 “이번 쿠팡 사례는 정황을 봐도 해외 협력업체로 정보가 새나갈 가능성이 충분히 있다”면서도 “이같은 사례를 겪으면서 정부가 입법적으로 할 수 있는 부분은 사실 한계가 있다. 해외 업체들이 기술적 지도나 개인정보보호와 관련된 인식 제고를 위한 조치를 취하도록 권고하고 자율규제를 강화하도록 해야 한다”고 설명했다.
그러면서 “자율 규제의 경우 업체들이 보안 수준 등을 평가해 정보로 올리는 것도 하나의 방법이 될 것”이라고 덧붙였다.
이커머스 플랫폼의 정보 유출 사례는 올해 들어 빈번하게 발생하고 있다. 이에 쿠팡, 11번가, 위메프 등은 개인정보 보호 강화를 위한 대책 마련에 발벗고 나선 상태다.
쿠팡은 지난달 17일부터 ‘해킹·개인정보 도용 등으로 고객 아이디와 비밀번호 등 계정이 누출된 것으로 확인될 경우 고객 계정 보호 목적으로 계정을 제한할 수 있다’고 공지했다.
11번가는 상품권 구매 후 구매 내역에서 확인 가능했던 상품권 핀번호를 모자이크 처리로 변경했다. G마켓은 홈페이지에 직접 노출됐던 핀번호를 2중 보안시스템으로 바꿨다.
위메프는 대입식 공격 차단을 위해 로그인 페이지에 캡차(CAPTCHA)를 적용했다. 캡차는 컴퓨터 프로그램과 일반 사용자를 구별하는 시스템을 말한다.
SSG닷컴은 동일 단말기 기준 특정 횟수 이상 로그인 시도 시 부정 로그인으로 탐지되며, 비밀번호 변경 대상자를 등록하거나 로그인 2단계로 인증해야 한다.
김한나 기자 hanna7@kukinews.com