국내 전자상거래(이커머스) 시장 1위 업체인 쿠팡에서 3천370만건이 넘는 대규모 개인정보 유출 사고가 발생했다.

고객의 이름, 이메일, 주소, 배송지 주소록, 일부 주문 정보 등이 외부로 노출된 것으로 확인됐다.

쿠팡 측은 결제 정보와 신용카드 번호는 포함되지 않았다고 밝혔지만, 사실상 핵심 개인정보 대부분이 유출된 셈이라 소비자 불안은 커질 수밖에 없다. 특히 이번 사고가 이미 반년 전부터 발생했을 가능성까지 제기되면서, 실제 피해 규모가 더 클 수 있다는 우려가 확산되고 있다.

문제는 이러한 유출 사고가 쿠팡 만의 일이 아니라는 점이다.

올해 들어서만 SK텔레콤, KT, 롯데카드 등 대형 기업에서 잇따라 개인정보 유출 사건이 터졌다. 이번 사태가 단순한 기술적 문제가 아니라 대형 플랫폼 기업들의 허술한 개인정보 관리 관행이 낳은 구조적 문제임을 다시 한번 확인시켰다.

수천만명의 이용자가 사용하는 주요 서비스임에도 불구하고, 개인정보 접근 권한 관리가 느슨하거나 불필요한 정보가 장기간 보관되는 등 기본적인 보안 원칙조차 제대로 지켜지지 않는 경우가 많았던 것이다.

이는 기업 내부에서도 개인정보가 충분히 통제되지 못하고 있으며, 언제든 대규모 유출로 이어질 수 있는 위험을 내포한다.

이번 사건은 기업들이 그동안 '편의성'과 '데이터 축적'에 집중해온 반면, 정작 보안 투자와 내부 통제는 후순위로 밀려났다는 현실을 적나라하게 보여준다.

암호화 강화, 접근 기록 모니터링, 최소 권한 원칙과 같은 기본적인 보안 조치만 제대로 지켰어도 피해 규모는 훨씬 줄어들었을 것이다. 그러나 많은 기업은 보안 강화를 비용 부담으로만 인식하며 사고 발생 이후에야 급하게 대응책을 내놓는 악순환을 반복하고 있다.

이는 이용자의 정보를 기반으로 성장한 플랫폼 기업으로서의 책임을 방기한 것에 다름없다.

물론 이용자들도 비밀번호 변경, 2단계 인증 설정, 피싱·스미싱 주의 등 개인 차원의 방어 조치를 강화해야 한다. 하지만 개인의 노력만으로는 보호에 한계가 있다. 근본적 위험을 줄이기 위해서는 기업이 정보 수집을 최소화하고, 보관 기간을 단축하며, 내부·외부 접근 통제를 강화하는 등 보안 체계를 전면적으로 재정비해야 한다.

김현주 사회에디터 5151khj@mdilbo.com