쿠팡에서 최대 3370만명 규모의 고객 정보가 유출된 사실이 확인돼 파장이 커지고 있는 가운데 쿠팡이 정보보호 관리체계에 이상이 없다는 정부 인증까지 받은 것으로 파악돼 정보보호 인증 제도 자체가 무용지물 아니냐는 지적이 나온다.
30일 국회 정무위원회 소속 사회민주당 한창민 의원이 개인정보보호위원회로부터 제출받은 자료를 보면 쿠팡은 지난 2021년 3월과 지난해 3월 과학기술정보통신부와 개보위가 공동 운영하는 정보보호 및 개인정보보호 관리체계, ISMS-P 인증을 받았지만 총 4건의 정보유출 사고를 냈다.
ISMS-P 인증은 과학기술정보통신부와 개보위가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증제도다.
쿠팡은 2021년 3월 ISMS-P 최초 인증을 받았고 지난해 3월에는 갱신 인증을 획득했다.
인증 범위는 로켓배송과 쿠팡이츠 등을 포함한 '쿠팡 서비스' 전체다. 그러나 인증 취득 이후에도 유출 사고가 잇따랐다.
2021년 10월에는 애플리케이션 업데이트 과정에서 테스트를 소홀히 해 14건의 유출이 발생했다.
2020년 8월부터 2021년 11월까지 쿠팡이츠 배달원 13만5천명의 개인정보(실명·휴대전화번호)가 음식점에 그대로 전달된 것도 확인됐다.
판매자용 시스템에서도 노출 사고가 있었다. 2023년 12월 쿠팡의 판매자 전용 시스템 '윙'에서는 로그인 시 특정 판매자에게만 보여야 할 주문자·수취인 2만2440명 개인정보가 다른 판매자에게 노출되는 문제가 발생했다.
사고는 이어져 지난 29일 쿠팡은 공지를 통해 "해외 서버를 통한 비정상 접근이 지난 6월 24일부터 있었던 것으로 추정된다"며 "약 3370만 개 고객 계정에서 이름·전화번호·주소·이메일·일부 주문 정보가 노출됐다"고 밝혔다.
이에 일각에서는 인증 제도의 실효성 문제가 제기된다. 개보위가 장관급 중앙행정기관으로 격상된 2020년 이후 이달까지 ISMS-P 인증 기업 27곳에서 총 34건의 개인정보 유출 사고가 발생했기 때문이다.
한창민 의원은 "국정감사에서도 지적했듯이 개인정보 유출 사전 예방 제도로서 ISMS-P 인증 효과에 강한 의구심이 든다"며 "개보위는 인증 제도를 보완할지, 새로운 예방 제도를 도입할지 결단해야 한다"고 말했다.