IT투자 늘어도 보안엔 소홀…유통업계, ‘보안 투자 공백’ 드러났다

패션·명품·식품 등에 이어 쿠팡까지 고객 개인정보가 유출되면서 유통업계 전반적으로 고객 정보 보호 수준에 대한 우려가 커지고 있다.ⓒ데일리안 AI 삽화 이미지

패션·명품·식품 등에 이어 쿠팡까지 고객 개인정보가 유출되면서 유통업계 전반적으로 고객 정보 보호 수준에 대한 우려가 커지고 있다.

기업들이 디지털 전환·인공지능(AI) 등 기술 혁신에는 적극적으로 투자해왔지만 정보보호 분야 투자에는 인색해 관리·인프라 등이 취약한 것 아니냐는 지적이 나온다.

2일 업계에 따르면 현재 쿠팡의 개인정보 유출 피해 규모는 약 3370만명에 달한다.

이는 앞서 쿠팡이 지난달 18일 약 4500건의 계정의 개인정보가 무단으로 노출됐다고 발표한 것보다 7500배가량 확대된 수준이다.

유출된 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문 정보 등이다.

쿠팡 뿐만 아니라 올 들어 유통업계 전반에서 개인정보 유출 사고가 잇따르고 있다.

올 1~2월에는 GS리테일에서 개인정보 유출 사고가 터졌다. GS25 홈페이지를 통해 고객 9만여명의 개인정보가 유출됐고, 홈쇼핑 웹사이트에서는 158건의 개인정보 유출 정황을 확인했다.

또한 지난 5월에는 스포츠의류 브랜드 아디다스에서 해킹으로 고객 개인 정보가 유출됐고, 6월엔 명품 플랫폼 머스트잇에서 고객 이름과 휴대전화 번호, 이메일 등 정보 유출 사고가 발생했다.

디올과 티파니, 까르띠에, 루이비통 등 명품 브랜드들 역시 잇따라 고객 정보 유출 사고가 발생했고, 한국파파존스도 고객의 개인 정보 유출 사고가 발생해 이를 고객에게 알렸다.

유통업계에서 연이어 관련 사고가 터지면서 기업들이 정보보안 투자에 소홀 것 아니냐는 관측이 나온다.

한국인터넷진흥원(KISA)의 정보보호 공시 종합 포털에 따르면 쿠팡의 정보기술부문 투자 대비 정보보호부문 투자 비율은 지난해 4.6%로 관련 공시가 처음 올라온 지난 2022년(7.1%) 대비 2.5%포인트 떨어졌다.

이는 773개 정보보호 투자 공시 기업들의 총 정보기술부문 투자 대비 정보보호부문 투자 비율 평균(6.29%)에 못 미치는 수치다.

특히 미국 보안 컨설팅 기관 IANS 리서치에 따르면 미국 기업 IT 예산 중 보안 투자 비율이 13.2%라는 점을 감안하면 현저히 낮은 수준이다.

다른 유통 기업들도 마찬가지다.

신세계(5.6%), SSG닷컴(4.6%), CJ올리브영(4.3%), 현대백화점(4.1%), GS리테일(4.1%), 롯데쇼핑(4.0%), 이마트(4.0%), 신세계인터내셔날(3.7%) 등도 평균을 밑돌았다.

정보기술부문 인력 중 정보보호 인력이 차지하는 비중도 낮아지고 있다.

쿠팡은 지난 2022년 정보기술부문 인력은 2303명으로 이중 정보보호부문 전담 인력이 7.4% 수준이었는데 지난해에는 6.9%로 감소했다.

이 기간 현대백화점은 4.7%에서 4.2%로, GS리테일은 4.4%에서 4.0%로 각각 줄었다.

일각에서는 고객 개인정보 유출 사태가 더 확산될 수 있다는 우려의 목소리도 제기된다. AI 등 IT산업이 고도화되고 있는 데다 해커들의 공격 수법도 더욱 정교해지고 있어서다.

개인정보보호위원회에 따르면 국내 개인정보 유출 규모는 2022년 연간 65만건에서 2023년 1011만건, 2024년 1377만건으로 매년 늘고 있는 추세다.

개인정보 유출 시 스미싱·보이스피싱, 주소 기반 피싱, 사칭 배송 연락 등 2차 피해 우려도 크다. 무엇보다 쿠팡 등 이커머스 기업의 경우 생필품 구매가 잦은 플랫폼인 만큼 개인정보 유출 시 타격이 불가피하다는 지적이 나온다.

이름과 집주소, 구매 이력 등을 합치면 충분히 그럴싸한 정보를 만들어 낼 수 있다. 예를 들어 최근 기저귀를 구매한 고객에게 택배사를 사칭한 스미싱·피싱 메시지를 발송하는 식이다.

업계 관계자는 “이번 쿠팡의 사태를 계기로 각 기업들이 정보보호에 대한 중요성을 알게 됐을 것”이라며 “기업들이 정보보호 투자 비중을 확대할 수 있도록 정부 차원의 정책 및 규제도 강화돼야 할 것”이라고 말했다.