서울 시내 쿠팡 차량 차고지. [사진=연합뉴스]
쿠팡이 ISMS-P(정보보호·개인정보보호 관리체계 인증)를 두 차례 취득하고도 최근까지 4건의 개인정보 유출 사고를 낸 것으로 드러났다.
30일 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회에서 제출받은 자료에 따르면 쿠팡은 2021년과 2024년 ISMS-P 인증을 받았음에도 올해까지 총 4건의 유출 사고를 냈다.
ISMS-P 인증은 과학기술정보통신부와 개보위가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증제도다. 2018년 과기부의 '정보보호 관리체계 인증(ISMS)'과 개보위의 '개인정보보호 관리체계 인증(PIMS)'을 통합해 만들었다.
쿠팡은 2021년 3월 ISMS-P 최초 인증을 받았고 지난해 3월에는 갱신 인증을 획득했다. 인증 범위는 로켓배송과 쿠팡이츠 등을 포함한 '쿠팡 서비스' 전체다. 쿠팡은 전년도 정보통신서비스 부문 매출액이 100억원 이상인 기업에 해당해 ISMS-P 인증 의무 대상이다.
그러나 인증 취득 이후에도 유출 사고는 이어졌다. 2021년 10월에는 애플리케이션 업데이트 과정에서 테스트를 소홀히 해 14건의 유출이 발생했다. 2020년 8월부터 2021년 11월까지 쿠팡이츠 배달원 13만5000명의 개인정보(실명·휴대전화번호)가 음식점에 그대로 전달된 것도 확인됐다. 앞서 쿠팡은 2019년 11월부터 배달원 개인정보 보호를 위해 음식점에 안심번호만 전송하는 방식으로 정책을 바꿨다고 했으나 실제로는 정책이 제대로 이행되지 않은 것이다.
판매자용 시스템에서도 노출 사고가 있었다. 2023년 12월 쿠팡의 판매자 전용 시스템 '윙'에서는 로그인 시 특정 판매자에게만 보여야 할 주문자·수취인 2만2440명 개인정보가 다른 판매자에게 노출되는 문제가 발생했다.
이에 일각에서는 인증 제도의 실효성 문제를 제기한다. 개보위가 장관급 중앙행정기관으로 격상된 2020년 이후 이달까지 ISMS-P 인증 기업 27곳에서 총 34건의 개인정보 유출 사고가 발생해서다. 인증 자체가 사고 방지 기능을 충분히 수행하지 못하고 있다는 지적이 나오는 배경이다.
한창민 의원은 "국정감사에서도 지적했듯이 개인정보 유출 사전 예방 제도로서 ISMS-P 인증 효과에 강한 의구심이 든다"며 "개보위는 인증 제도를 보완할지, 새로운 예방 제도를 도입할지 결단해야 한다"고 말했다.
홍승완 기자veryhong@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
