[이데일리 김아름 기자] 쿠팡이 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 두 차례 취득하고도 4건의 개인정보 유출 사고를 낸 것으로 확인됐다.

30일 국회 정무위원회 소속 사회민주당 한창민 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 받았지만 올해까지 네번이나 유출 사고가 발생했다. ISMS-P 인증은 과학기술정보통신부와 개보위가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계다. 2018년 과학기술정보통신부의 ‘정보보호 관리체계 인증(ISMS)’과 개인정보위의 ‘개인정보보호 관리체계 인증(PIMS)’이 통합된 제도다.

쿠팡은 로켓배송과 쿠팡이츠 등을 포함한 ‘쿠팡 서비스’ 전체를 대상으로 2021년 3월 ISMS-P 최초 인증을 받았고, 2024년 3월 갱신했다. 전년도 정보통신서비스 부문 매출액이 100억원 이상인 기업에 해당해 ISMS-P 인증 의무 대상이기 때문이다. 인증 취득 이후에도 쿠팡의 유출 사고가 계속해서 발생했다는 점이 우려되는 부분이다. ISMS-P 제도의 사전 예방 효과가 미흡한 것 아니냐는 지적이 나오는 이유다.

실제 개보위가 장관급 중앙행정기관으로 격상된 2020년 이후부터 이달까지 총 27개의 ISMS-P 인증 기업에서 34건의 개인정보 유출 사고가 발생한 것으로 나타났다.

한창민 의원은 “국정감사에서도 지적했듯이 개인정보 유출 사전 예방 제도로서 ISMS-P 인증의 효과에 강한 의구심이 든다”며 “개인정보위는 인증 제도를 보완할지, 새로운 예방 제도를 도입할지 결단해야 한다”고 말했다.

한편 쿠팡의 3370만개의 고객 계정이 외부로 유출된 정보는 이름, 이메일 주소, 배송지 주소, 배송지 전화번호 등이다.

쿠팡은 “해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정된다”며 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았다”고 밝혔다.