플랫폼 시대의 개인정보 잔혹사…‘빅데이터의 덫’ [유통가 리스크 점검 ②]

최근 유통업계가 기업회생, 개인정보 유출, 마케팅 논란 등 다양한 리스크에 직면하고 있다. 한 기업의 위기는 그 자신은 물론 소비자와 판매자, 협력사, 투자자 등 이해관계자 전반에 큰 영향을 미치며 산업 전체의 신뢰를 흔들기도 한다. 기업을 둘러싼 리스크는 더 이상 특정 기업만의 문제가 아닌 유통업계 전반의 과제로 떠오르고 있다. 이에 최근 유통업계를 뒤흔든 주요 사례를 통해 기업 리스크의 실체를 짚어보고, 재발 방지를 위한 과제와 대응 방향을 살펴본다. <편집자 주>

[한국금융신문 박슬기 기자] 유통업계의 디지털 전환이 가속화되면서 개인정보 보호가 기업 경영의 핵심 과제로 떠오르고 있다. 온라인 쇼핑과 배달, 멤버십, 온라인동영상서비스(OTT) 등 플랫폼 서비스가 일상화되면서 기업들이 보유한 개인정보 규모도 급격히 늘어났기 때문이다. 소비자들의 이름과 연락처는 물론 주소, 결제 정보, 소비 패턴 등 다양한 데이터가 기업 시스템에 축적되면서 개인정보는 중요한 자산이 됐지만 동시에 새로운 리스크 요인으로 부상했다.

14일 관련업계에 따르면, 최근 몇 년 사이 유통·플랫폼 업계를 중심으로 대규모 개인정보 유출 사고가 잇따르면서 기업들의 보안 역량과 개인정보 관리 체계에 대한 사회적 관심이 크다. 특히 플랫폼 기업의 경우 수천만 명의 이용자 정보를 보유하고 있어 단 한 번의 사고에도 그 파급력이 크다. 개인정보 유출은 단순한 보안 사고를 넘어 고객 신뢰 하락과 브랜드 가치 훼손은 물론, 집단소송과 과징금 부과 등으로 이어지며 기업 존립을 위태롭게 할 수도 있다.
지난해 쿠팡에서 발생한 대규모 개인정보 유출은 이러한 위험성을 단적으로 보여준 사례다. 당시 3367만 건의 고객 정보가 노출되면서 쿠팡은 뭇매를 맞았고, 정보 보안과 관련해 업계는 물론 정부와 정치권에서까지 상당한 논란을 불러왔다. 하지만 이후에도 BGF네트웍스와 티빙 등에서 개인정보 유출 사고가 이어졌다. 플랫폼 시대, 개인정보 리스크는 여전히 현재진행형이다.

고객정보 3367만 건 노출…쿠팡이 남긴 경고

지난해 11월 말 발생한 쿠팡의 대규모 개인정보 유출 사태는 플랫폼 기업이 안고 있는 개인정보 리스크를 여실히 드러냈다. 중국 국적의 전 쿠팡 직원이 고객 정보 3367만 건을 무단 반출했고, 이는 역대 최대 규모 개인정보 유출 사고 중 하나로 기록됐다. 대규모 보안 사고는 소비자들의 이른바 ‘탈팡(쿠팡 탈퇴)’ 움직임으로 이어졌고, 개인정보 보호 체계 전반에 대한 사회적 경각심을 다시금 일깨웠다.

이재명 대통령은 이와 관련해 “피해 규모가 약 3400만 건으로 방대하기도 하지만 처음 사건이 발생하고 5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍다”며 “이 정도인가 싶다”고 질타했다. 그러면서 “인공지능과 디지털 시대의 핵심 자산인 개인정보 보호를 소홀하게 여기는 이 잘못된 관행과 인식 역시 이번 기회에 완전히 바꿔야 한다”고 일갈했다.

쿠팡의 대규모 개인정보 유출로 이른바 ‘탈팡’ 현상이 일기도 했다. 대규모 유출이 발생한 것도 큰 영향을 미쳤지만 김범석닫기김범석기사 모아보기 쿠팡 의장이 청문회 등에 참석하지 않은 점이 반발을 키웠다. 사고 발생 직후 쿠팡의 월간활성이용자수(MAU)는 3개월 연속 내림세를 보였다. 모바일인덱스에 따르면 쿠팡의 MAU는 지난해 12월 3485만 명에서 올해 1월 3401만 명, 2월 3364만 명으로 줄었다.

정부와 정치권에서는 개인정보 보호 규제를 강화해야 한다는 목소리가 잇따랐다. 업계에서도 개인정보 보호가 단순한 보안 이슈를 넘어 기업 신뢰와 직결되는 경영 과제라는 인식이 확산됐다. 특히 플랫폼 기업의 경우 수천만 명의 이용자 정보를 보유하고 있는 만큼 쿠팡 사례는 한 번의 유출 사고가 기업 경영에 있어 얼마나 큰 리스크가 될 수 있는지 보여줬다.
실제 올해 1분기 쿠팡은 3545억 원의 영업손실을 내며 적자로 돌아섰다. 지난해 11월 말 3367만 건의 대규모 개인정보유출 여파가 미치면서다. 특히 피해 이용자들에게 제공한 1조6850억 원 규모의 보상 쿠폰이 실적 부담으로 작용했다. 1분기 연결기준 매출은 12조4597억 원으로 전년 같은 기간보다 8% 성장했다. 다만 개인정보 유출이 발생한 지난해 4분기(12조8103억 원)에 이어 2개 분기 연속 전기 대비 매출이 감소했다.

물론, 이를 두고 쿠팡의 경쟁력이 약화됐다고 보기엔 이르다. 분기 매출이 12조 원을 웃도는 압도적인 규모를 유지하고 있는 데다, 직매입 기반 물류망과 로켓배송을 중심으로 한 서비스 경쟁력이 여전히 견고하기 때문이다. 특히 쿠팡은 상품 소싱부터 물류, 배송까지 전 과정을 통제하는 ‘완결형 커머스 모델’을 구축한 점이 여전히 큰 경쟁력으로 자리잡고 있다.

다만, 플랫폼 기업이 보유한 데이터 규모가 커질수록 보안 실패에 따른 파급력도 커지는 만큼 개인정보 보호 역량이 기업 경쟁력의 핵심 요소로 자리잡고 있는 것은 분명하다.

보안 강화 외치지만…유출 사고는 현재진행형

쿠팡 개인정보 유출 사태가 발생한 지 6개월이 지났다. 개인정보보호위원회(개인정보위)는 지난 11일 쿠팡개인정보 유출 및 침해에 대해 과징금 총 6246억8100만 원과 과태료 1680만 원을 부과했다. 개인정보위는 쿠팡에 대해 인증 서명키 관리 및 접근통제 소홀 등 기본적인 안전관리 체계 미흡으로 3750만여 명의 개인정보 유출을 불러왔다고 결론을 냈다.

개인정보위는 이와 함께 재발 방지를 위한 안전조치 강화, 회원이 아닌 정보주체 대상 유출 통지 실시, 최고개인정보보호책임자(CPO)의 실질적 역할 보장 등에 대한 시정명령을 내렸다. 또 탈퇴회원 개인정보처리 체계 개선을 권고, 3개월 내 이행 및 조치 결과를 확인할 예정이라고 밝혔다.

정부는 쿠팡 개인정보 유출 사태를 계기로 올해 하반기 플랫폼, 금융기관, 공공기관, 요양병원 등을 개인정보 고위험군으로 지정하고 처리 실태를 집중 점검할 계획이다. 개인정보위는 개인정보 처리 규모와 민감도 등을 기준으로 위험군을 구분해 점검 강도를 차등화하고, 접근 권한 관리와 내부 통제 체계 등을 중점적으로 살펴볼 방침이다.

법·제도 개선도 추진되고 있다. 최근 국회를 통과한 개인정보보호법 개정안은 고의 또는 중과실로 대규모 개인정보 유출이 발생할 경우 전체 매출액 대비 최대 10%까지 과징금을 부과할 수 있는 징벌적 과징금 제도를 담고 있다. 공정거래위원회 역시 쿠팡과 같은 복합형 대형 사건 대응을 위해 조직 개편에 나섰으며, 법무부는 집단소송제 도입 논의를 다시 본격화하고 있다.

하지만 규제 강화 움직임에도 개인정보 유출은 끊이지 않고 있다. 최근 CU 편의점 택배 서비스를 운영하는 BGF네트웍스에서 해킹 공격으로 회원 개인정보가 유출됐다. 유출 항목에는 아이디와 비밀번호를 비롯해 이름, 생년월일, 주소, 휴대전화 번호 등이 포함됐다.

CJ ENM의 OTT 티빙에서도 외부 비인가 접근으로 개인정보가 새어 나갔다. 아이디와 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 환불 계좌번호(암호화) 등이 유출 대상에 포함됐다.

업계에서는 플랫폼 기업들이 보유한 개인정보 규모가 커질수록 해킹과 내부자 유출 등 위험도 함께 증가하고 있다고 지적한다. 쿠팡 사태 이후 규제와 관리 감독은 강화되고 있지만 개인정보 보호 체계가 그에 걸맞게 고도화되지 않는다면 유사 사고는 반복될 수밖에 없다는 분석이다.

플랫폼 시대 개인정보는 기업의 가장 중요한 자산인 동시에 가장 큰 리스크가 됐다. 개인정보 유출이 발생할 경우 과징금과 소송은 물론 고객 이탈과 브랜드 가치 훼손까지 감수해야 하는 만큼 업계 전반의 보안 및 내부 통제 강화가 불가피하다.

업계 관계자는 “개인정보 유출은 단순 보안 사고가 아니라 고객 이탈과 브랜드 가치 하락으로 이어질 수 있다는 점에서 기업 입장에서는 상당한 부담”이라며 “AI와 데이터 활용이 확대될수록 개인정보 보호 체계에 대한 투자도 함께 강화될 수밖에 없다”고 말했다.

박슬기 한국금융신문 기자 seulgi@fntimes.com