국내 이커머스 1위인 쿠팡에서 3370만개 계정의 개인정보 유출이 확인된 데 이어 G마켓에서도 무단 결제 피해가 발생하면서 이커머스 업계에 보안 비상이 걸렸다. 이커머스 대표 주자인 이들 플랫폼에서 잇달아 사고가 터지며 소비자 불안이 고조되는 것은 물론 업계 전반의 보안·내부통제 체계가 흔들리고 있다는 우려 또한 커지고 있다.
3일 금융당국과 업계에 따르면 금융감독원은 G마켓 이용자 60여 명이 스마일페이 등록 카드로 본인 의사와 무관한 결제가 이뤄졌다고 신고함에 따라 긴급 현장점검에 착수했다. 피해액은 1인당 3만~20만원 수준이다. 금감원 관계자는 “업체는 외부에서 탈취된 계정 정보로 부정 결제가 발생했다고 주장하고 있어 사실관계를 확인 중”이라며 “피해 보상이 제대로 진행되는지도 함께 점검할 것”이라고 말했다.
G마켓 측은 내부망 해킹이 아니라 외부에서 유출된 고객 정보가 무작위로 입력돼 로그인된 사례라고 설명했다. 사고 발생 즉시 경찰 신고와 함께 금감원에도 선제적으로 통보했다는 설명이다. 다만 업체 측 설명이 사실이라면 간편결제 비밀번호 등 결제 승인에 필요한 정보가 어떤 경로로 유출됐는지가 핵심 쟁점으로 부상하게 된다.
일각에서는 쿠팡 유출 정보가 악용됐을 가능성도 제기되지만 업계에서는 최근 개인정보 유출 사고가 잦았던 데다 소비자가 계정 정보를 비슷하게 쓰는 사례가 많아 단일 경로를 특정하기 어렵다는 시각이 우세하다. G마켓은 공지를 통해 타사 보안 사고 영향에 따른 도용·피싱 위험을 경고하며 비밀번호 변경을 권고했고 환금성 상품 구매 시 본인 확인 절차도 강화했다.
쿠팡발 보안 우려가 확산되는 가운데 발생한 이번 사고는 단일 기업 문제가 아니라 이커머스 전반에 걸쳐 취약성이 드러났다는 지적도 나온다. 특히 쿠팡은 개인정보보호 관리체계(ISMS-P), ISO/IEC 27001·27701·27017, APEC·글로벌 CBPR, PCI DSS, ePrivacy 등 국내외 보안·프라이버시 인증을 7종 보유하고 있었지만 전직 직원이 서명키·인증토큰을 이용해 3000만건 넘는 개인정보를 유출한 것으로 드러났다.
정부 조사에서도 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상 로그인 없이 고객 정보를 대량 조회한 사실이 확인됐다. 인증 취득이 곧 실질적 보안을 의미하지 않는다는 비판이 커지는 배경이다. 최경천 가천대 법학과 교수는 “인증은 기본 점검에는 의미가 있지만 최근 사고처럼 자산·접근권한 관리 취약점이 반복되는 만큼 실효성 보완이 필요하다”고 말했다.
쿠팡 개인정보 유출 사태 이후 SSG닷컴·롯데온·11번가·컬리 등 주요 플랫폼도 접근권한·로그 기록·결제 시스템 전반에 대한 긴급 점검에 돌입했다. DB 접속 이력을 재점검하고 대량 조회 탐지를 강화하는 등 기본 통제 절차를 전면 재정비하는 분위기다.
일부에서는 이번 쿠팡 사태의 유력한 용의자로 중국 국적 쿠팡 전 직원이 지목되면서 국내에서 영향력을 높이는 알리익스프레스·테무·쉬인 등 중국계 이커머스(C커머스)를 향한 시선은 곱지 않다. C커머스의 약진과 G마켓·알리바바 합작법인 설립 등 국내 업체와 해외 플랫폼의 결합으로 데이터 국외 이전 등 보안 리스크가 커졌다는 지적이다. 공정위는 앞서 알리바바와 G마켓의 합작법인을 승인하면서 국내 소비자 데이터를 기술적으로 분리해야 한다는 단서를 단 바 있다.
업계 관계자는 “정확한 유출 경로가 파악되기 전까지는 전체 시스템에 대한 전방위 점검이 불가피하다”며 “이번 사태를 계기로 이커머스 업계가 내부 통제 체계 전반을 대대적으로 재점검하는 분위기”라고 말했다.
김현아 기자haha@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
