쿠팡이 무려 3370만 계정의 개인정보를 텰린 이면에 IT 기업에서 퇴직할 때 기본적으로 하는 '퇴직자 계정 말소'를 하지 않은 것으로 밝혀졌다.

2일 쿠팡 등에 따르면 개인정보를 빼낸 것으로 의심받는 중국 국적의 전 직원은 정보기술(IT) 분야 개발자이며 인증 절차에 이용되는 프로그램을 만드는 작업을 했다.

IT를 기반으로 한 온라인 유통기업에서 핵심 데이터 접근 권한을 가진 직원이 퇴사를 하는데도 계정 말소를 하지 않았다.

정부의 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’의 인증 기준에도 퇴사자의 계정 말소 조항이 있다.

쿠팡은 이 지침을 지키지 않고 소홀히 해 퇴사한 직원이 내부 중요 정보에 접근할 수 있었다.

무엇보다도 일반적으로 인증 관리 부서에는 외국인을 배치하지 않는 것으로 알려져 쿠팡이 보안 분야를 너무 경시했다는 지적을 받고 있다.

업계에서는 특정 부서는 인사 시스템에 보안 시스템을 연동해 인사를 해야 한다고 지적하고 있다.

한편 쿠팡은 최근 4년간 IT 대비 정보보호 투자를 줄여온 것으로 파악됐다.

한국인터넷진흥원(KISA)의 정보보호 투자 공시에 따르면 쿠팡은 올해 정보보호 투자액을 890억 원으로 공시했다.

투자 금액으로는 2022년 535억 원, 2023년 639억 원, 지난해 660억 원으로 늘었다.

하지만 IT 분야 투자 대비 정보보호 투자 비율은 같은 기간 7.1%에서 2023년 6.9%로 하락한 뒤 지난해 5.6%, 올해는 4.6%로 줄었다.

이는 올해 773개 정보보호 투자 공시 기업들의 평균인 6.28%보다 낮다.

0 0