[디지털데일리 이안나 기자] 온라인 쇼핑 시장이 커지면서 불거진 문제 중 하나는 개인정보 유출 논란이다. 모바일 앱을 개편하던 중 실수로 고객 정보가 타인에 노출되기도 하고, 올해 상반기엔 이커머스 업계 중심으로 다른 사이트 계정정보를 무작위 대입해 개인정보를 빼내는 ‘크리덴셜 스터핑’ 공격이 만연하기도 했다.

7일 업계에 따르면 개인정보보호위원회는 지난달 개인정보가 대량 유출된 인터파크 등 8개 사업자에 총 16억6000만원 규모 과징금을 부과하기로 의결했다고 전했다. 8개 사업자 중엔 인터파크와 패션 플랫폼 무신사가 포함됐다. 헬스앤뷰티(H&B) 독보적 사업자인 CJ올리브영도 ‘오늘드림’ 등 온라인 사업을 확대하는 가운데, 지난 2월 개인정보 유출 사고 발생 후 현재까지 개인정보위 조사를 받고 있다.

온라인 플랫폼을 운영하는 유통 사업자라면 누구나 개인정보유출 방지 중요성이 커졌다는 점을 인식할 수 있다. 개인정보 유출 사고를 막기 위한 시장은 정보보호 투자에서 시작된다. 다행히 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털에선 주요 기업 정보보호 투자와 인력, 인증 활동 등을 살펴볼 수 있는 공시 제도를 운영 중이다.

이 제도는 매출액 3000억원 이상, 정보통신서비스 일 평균 이용자 100만명 이상 기업을 의무공시 대상으로 한다. 의무대상이 아니더라도 보통신망을 통해 사업 활동을 하는 업체라면 누구나 자율적으로 공시 할 수 있다. 정보보호 투자 활동을 공개해 이용자들에 신뢰를 줄 수 있기 때문이다.

인터파크를 제외한 무신사, CJ올리브영는 의무공시 대상 기업은 아니지만 자율적으로 지난해 정보기술(IT) 및 정보보호 투자액을 공시했다.

인터파크 IT 및 정보보호 부문 투자 내역. [ⓒ정보보호 공시 포털]

최근 개인정보위로부터 가장 고액의 과징금 철퇴를 받은 건 인터파크다. 인터파크는 연초 크리덴셜 스터핑 공격을 당했는데, 동일한 접속주소에서 대규모로 발생한 로그인 시도 같은 비정상적 상황을 차단하는 정책을 적용하지 않았다. 이로 인해 이용자 개인정보 78만4920건을 유출 당했다. 개인정보위는 인터파크에 시정명령과 함께 10억2645만원 과징금과 360만원 과태료를 부과했다.

정보보호 공시에 따르면 인터파크 2022년 4~12월 IT투자액은 299억원, 정보보호 투자액은 20억원을 투자했다. 같은 기간 매출액이 1322억원이라는 점을 감안하면 매출액 대비 IT투자 비중은 22.6%, 정보보호 투자 비중은 1.5%다. 총 임직원 1073명 중 IT관련 인력은 425명, 정보보호 인력은 18명이다. IT 인력 대비 정보보호 인력 비중은 4.3%다.

다른 기업들과 달리 인터파크 영업활동 및 회계결산 기간을 9개월로 설정한 이유는, 지난해 4월1일부러 인터파크가 야눌자에 흡수합병돼 신설법인으로 등록됐기 때문이다. 인터파크는 지난달 15일 ‘인터파크 트리플’로 상호를 변경했다. 해커 공격을 받고 개인정보를 유출한 인터파크트리플은 “올해 정보보호 투자를 더욱 확대할 계획”이라고 말했다.

실제 개인정보 유출은 해커 공격도 있지만 시스템 작업 중 설정 실수로 사고가 발생하는 경우도 많다.

CJ올리브영 IT 및 정보보호 부문 투자 내역. [ⓒ정보보호 공시 포털]

CJ올리브영은 지난 2월 회원 이름과 프로필 사진, 등급, 배송지 등이 유출된 사고가 발생했다. 모바일 콘텐츠 전송 네트워크(CDN) 교체 작업 중 오류가 발생해 일부 고객들에 다른 고객들 정보가 누출됐다. 올리브영은 약 1만명 정보가 누출된 것으로 보고 있다. 개인정보위 관계자는 “CJ올리브영 건은 파악할 내용이 많아 아직 조사 중에 있다”고 말했다.

정보보호 공시에 따르면 CJ올리브영 지난해 IT 투자액은 497억원, 정보보호 투자액은 27억원이다. IT투자액은 전년대비 23.2% 늘고, 정보보호 투자액은 2.8% 늘었다. 다만 작년 매출액 2조7774억원 대비 IT투자액 비중은 1.8%, 정보보호 투자액 비중은 0.1%에 불과해 아쉬운 수준이다.

같은 기간 총 임직원 수는 8989명에서 1만740명으로 늘면서 IT인력이 155명에서 220명으로 증가했는데, 정보보호 전담 인력은 11명 규모에서 6명 규모로 절반 줄었다.

개인정보위로부터 과태로 1080만원을 부가받은 무신사는 모바일을 통한 배송지 변경 기능을 개선하면서, 비회원에게도 '지난 배송지 목록'이 보이도록 잘못 설정하는 실수를 했다. 그 결과 비회원이 주문결제 후 배송지 변경하면 다른 회원의 배송지 정보가 열람되는 위반사항이 확인됐다.

올해 처음 공시를 올린 무신사는 지난해 IT투자액 467억원, 정보보호 투자액 14억원이다. 무신사 별도 매출 6451억원 대비 IT투자액은 7.3%, 정보보호 투자액은 0.22%를 차지했다. 총 임직원 수 1202명 중 IT인력은 318명, 이중 정보보호 전담 인력은 5명 정도로 유지했다.

인터파크트리플과 CJ올리브영, 무신사는 여행과 H&B, 패션 등 각각 영역에서 이용자들 선호도가 높은 버티컬 플랫폼사들이다. 올해 크고 작은 개인정보 유출을 겪었던 만큼, 이용자들이 온라인상에서 안심하고 활동하도록 각별한 노력을 기울일 전망이다.