본문 바로가기
생활

쿠팡 3,370만 계정 유출… 보안 인증제도의 실효성 논란

진짜슈퍼맨3 2025. 12. 1. 08:11
반응형

 

 

쿠팡 3,370만 계정 유출… 보안 인증제도의 실효성 논란

📌 목차

  1. 사건 개요 – ‘최고 보안’ 인증 기업에서 터진 대규모 유출
  2. ISMS-P 인증이란 무엇인가
  3. 인증 받았는데 왜 유출이 반복될까
  4. 해외 보안 제도와의 차이점
  5. 한국 개인정보보호 체계의 구조적 한계
  6. 앞으로 필요한 변화와 대응 방향

1. 사건 개요 – ‘최고 보안’ 인증 기업에서 터진 대규모 유출

2025년, 쿠팡에서 약 3,370만 명의 고객 개인정보가 유출되는 초대형 보안 사고가 발생했습니다.
문제는 이 기업이 이미 국가 인증 최고 보안 등급인 ISMS-P를 획득한 상태였다는 점입니다.

쿠팡은 2021년과 2024년에 두 차례나 ISMS-P 인증을 통과했지만, 그 이후에도 총 4차례의 개인정보 유출이 이어졌습니다.
이는 단순한 기업의 실수 문제가 아니라, 인증제도 자체의 실효성에 대한 의문을 불러일으키고 있습니다.

2. ISMS-P 인증이란 무엇인가

ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도입니다.

기업은 총 101개의 보안 관리 항목을 충족해야 하며, 조직관리, 기술적 보호조치, 접근권한 관리, 로그 기록 등 보안 체계 전반을 평가받아야 합니다.

하지만 이번 사건은, 이런 제도가 서류상 점검에 그치고 실질적 보안 강화로 이어지지 않는다는 점을 보여줍니다.

 

3. 인증 받았는데 왜 유출이 반복될까

쿠팡은 인증 이후에도 2021년 앱 테스트 과정에서 개인정보 14건이 새어 나왔고, 같은 해 쿠팡이츠 배달원의 13만 5천 명 개인정보가 음식점에 그대로 노출되었습니다.
이후에도 판매자 시스템인 ‘윙(Wing)’에서 주문자 정보가 다른 판매자에게 노출되는 등 여러 차례 사고가 반복되었습니다.

이러한 문제는 쿠팡만의 일이 아닙니다. 개인정보위가 장관급 기구로 격상된 2020년 이후, ISMS-P 인증을 받은 27개 기업에서 총 34건의 정보 유출 사고가 발생했습니다.

결국 인증이 ‘보안 능력의 보증’이 아닌 ‘서류 통과용 제도’로 변질된 셈입니다.

쿠팡 3,370만 계정 유출… 보안 인증제도의 실효성 논란

4. 해외 보안 제도와의 차이점

미국은 한국과 달리 통합 개인정보보호법이 없지만, 연방거래위원회(FTC)가 산업별로 강력한 규제를 시행합니다.
2019년 페이스북(현 메타)은 케임브리지 애널리티카 스캔들로 50억 달러(약 6조 원)의 과징금을 부과받았습니다.

유럽연합(EU)의 GDPR은 한층 더 강력합니다. 서비스 설계 단계에서부터 개인정보 보호 원칙을 반영해야 하고, 유출 시 72시간 내 보고 의무가 있습니다. 위반 시 글로벌 매출의 최대 4%까지 과징금이 부과될 수 있습니다.

일본도 내부자 통제가 철저합니다. 해외 제3자에게 개인정보를 이전할 경우 해당 국가의 보호 수준과 수신자 조치를 명확히 고지하고, 당사자의 명시적 동의(옵트인)을 받아야 합니다.

5. 한국 개인정보보호 체계의 구조적 한계

한국은 보안 사고가 터질 때마다 ‘사후 제재’ 위주의 대응에 치중합니다.
사건 이후 조사와 처벌은 진행되지만, 기업이 ‘미리 예방할 동기’가 약한 구조입니다.

과징금 수준도 낮고, 형사 처벌은 거의 이루어지지 않아 기업 입장에서는 위험 대비 비용이 낮은 환경이 지속되고 있습니다.

결국 반복되는 해킹과 개인정보 유출의 근본 원인은 제도의 허점과 낮은 처벌 수위, 그리고 실질적 점검 부재에 있습니다.

쿠팡 3,370만 계정 유출… 보안 인증제도의 실효성 논란

6. 앞으로 필요한 변화와 대응 방향

ISMS-P 인증이 진정한 보안 인증이 되기 위해서는 형식적 평가가 아닌 실질적인 기술 점검과 모의 해킹 검증 절차가 필요합니다.
또한 인증 후에도 주기적인 보안 모니터링과 공개된 투명한 평가 시스템이 뒷받침되어야 합니다.

정부 역시 사후 제재가 아닌, 사전 예방 중심의 규제 모델로 전환해야 합니다.
개인정보 보호는 단순한 법적 의무가 아니라, 기업 신뢰와 직결되는 사회적 책임이기 때문입니다.

✅ 정리하자면,

쿠팡 사태는 단순한 한 기업의 보안 실패가 아니라, 한국의 정보보호 제도 전반에 걸친 구조적 문제를 보여줍니다.
‘최고 보안’이라는 이름의 ISMS-P 인증이 더 이상 상징적인 명패로 남지 않기 위해선, 지금이 바로 실질적인 개혁의 출발점이 되어야 할 때입니다.

반응형

'생활' 카테고리의 다른 글

구글 제미나이에 반격! 오픈AI GPT-5.2 성능·속도·콘텐츠까지 완벽 진화  (1) 2025.12.14
내년 3월부터 수서역에서도 KTX 예매 가능! KTX·SRT 통합의 모든 변화 정리  (0) 2025.12.09
K-콘텐츠 열풍에 예체능 전공 유학생 급증…대학들은 웃고 울다  (0) 2025.11.24
새벽배송 제한 논란, 택배기사와 소비자 모두가 피해자인 이유  (0) 2025.11.08
조용한 자기계발: 남들 모르게 성장하는 힘  (0) 2025.10.31

'생활' Related Articles

티스토리툴바