29일 이커머스 업계에 따르면 올해 들어 쿠팡 고객정보 유출 의혹, G마켓 상품권 도용 사건 등 개인정보 도용 수법이 교묘해지면서 업체들마다 자율규제를 강화하고 보안시스템 개선을 통해 개인정보 보호를 강화하기 시작했다.
대입(代入)식 공격 차단을 위해 로그인 페이지에 컴퓨터 프로그램과 일반 사용자를 구별하는 시스템인 캡차(CAPTCHA)를 적용했다. 관계 법령에 따른 암호화 대상 외에도 유출 시 이용자의 프라이버시 침해가 예상되는 휴대전화 번호, 이메일 주소 등을 추가로 암호화해 보관하고 있으며 상품 주문 시에는 ‘안심번호 서비스’를 기본으로 무상 제공, 파트너사와 택배사에 고객 실제 연락처가 제공되지 않도록 조치를 취했다.
티몬은 회사의 보안시스템을 국제적인 기관을 통해 검증받는 정공법을 선택했다. 티몬은 이커머스 업계 최초로 개인정보보호 국제표준 ISO27701을 획득하며 정보보안 능력을 인증받았다. ISO27701은 국제표준화기구에서 개인정보 관리 절차와 암호화, 비식별화 등과 관련해 인증하는 최고 수준의 개인정보보호 관리체계다. 2014년 획득한 정보보호경영시스템 국제표준 ISO27001에 이어 ISO27701도 획득하면서 이커머스에서 가장 중요한 요소 중 하나인 개인정보보호와 관련해 신뢰할 수 있는 회사임을 입증했다.
앞서 실제 피해가 발생했던 G마켓 역시 문화상품권 피해금액 전부를 스마일캐시로 보상하고 문화상품권의 핀번호를 확인할 때 본인 인증을 하도록 인증 단계를 추가했다. 비밀번호 변경 캠페인도 진행 중이다. 쿠팡은 지난달 17일부터 해킹·개인정보 도용 등으로 고객 아이디와 비밀번호 등 계정이 외부에 누출됐다고 의심될 경우 고객 계정 보호를 목적으로 계정 잠금 등 임의로 보호조치를 위한 제한 조치를 취할 수 있다는 내용으로 이용 약관을 개정 및 공지했다.
11번가는 상품권 구매 후 구매 내역에서 확인할 수 있었던 상품권 핀번호를 안 보이도록 모자이크 처리로 변경했다. 홈페이지에 직접 노출됐던 핀번호를 조회하려면 2중 인증하는 것으로 보안시스템을 강화했다. 이외에도 무신사는 정보보호 체계를 강화하고 전담 정보보안 조직을 구축해 운영 중이며 개인정보 수집부터 파기까지 단계별 세부 보호 절차를 운용하면서 기술적·관리적 보호 조치를 시행하고 있다. 에이블리·카카오스타일 등 이커머스 업체들은 보안에 대해 자세하게 공개할 수 없지만 개인정보보호에 대해 고객이 신뢰할 수 있을 정도로 준비했다.
이커머스 업계가 이 같은 행보에 나서는 것은 고객정보 탈취 시도가 꾸준히 이어졌기 때문이다. 실제 지난 1월 G마켓에서는 문화상품권 무단 도용 사건이 발생했다. 지난 1월 G마켓에서 발생한 문화상품권 무단 사용도 한 사이트의 아이디와 비밀번호를 알아내 이를 다른 사이트에 무작위로 대입하는 ‘크리덴셜 스터핑(무차별 대입)’ 공격으로 인한 피해였다.
이커머스 업계 대부분의 이용자들은 여러 사이트의 아이디와 비밀번호를 하나로 통일해 쓰는 경우가 많기 때문에 이커머스 사이트에서 개인정보가 한 번 도용되고 나면 2차 피해가 발생할 가능성이 커진다. 여기에다 사용자 이름과 연락처, 주소뿐만 아니라 e쿠폰처럼 구매내역·선불충전금까지 예민한 정보가 담겨 있어 피해가 더욱 커질 수 있다. 대표적으로 오픈마켓 판매자 계정을 도용해 가짜 매물을 올리고 돈만 받아 잠적하거나 판매자들에게 피싱 메일을 보내는 시도 등이 가능한 시나리오다.
이커머스 업계 한 관계자는 “최근 다양한 방법으로 개인정보를 도용하는 사례가 늘고 있다. 만약 해커에 의해 개인정보가 유출되면 큰 피해로 이어질 수 있다는 점을 고려해 기업의 보안 강화와 이용자들의 각별한 주의가 필요하다”며 “이커머스 기업에서는 보안사항에 대해 공개할 수는 없지만 소비자 보호를 위해 취할 수 있는 조치를 다 하고 있다”고 말했다.
최양수 글로벌이코노믹 기자 pluswater@g-enews.com
