국내 최대 전자상거래 업체인 쿠팡에서 유출된 개인정보가 3,300만 개가 넘는 것으로 확인됐다. 특히 쿠팡이 국가 인증 제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 두 차례나 취득하고도 4건의 개인정보 유출 사고를 내 더욱 충격을 더했다.   30일 국회 정무위원회 소속 사회민주당 한창민 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 받았지만 이후 올해까지 네 차례의 유출 사고를 냈다.ISMS-P 인증은 과기정통부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다. 2018년 과학기술정보통신부의 ‘정보보호 관리체계 인증(ISMS)’과 개인정보위의 ‘개인정보보호 관리체계 인증(PIMS)’을 통합해 만들었다.쿠팡은 2021년 3월 ISMS-P 최초 인증을 받았고, 2024년 3월 갱신 인증을 받았다. 인증 범위는 로켓배송과 쿠팡이츠 등을 포함한 ‘쿠팡 서비스’ 전체다. 쿠팡은 전년도 정보통신서비스 부문 매출액이 100억원 이상인 기업에 해당해 ISMS-P 인증 의무 대상이다.문제는 인증 취득 이후에도 쿠팡의 유출 사고가 계속해서 발생했다는 점이다. 2021년 10월 앱 업데이트 간 테스트를 소홀히 해 14건의 유출 사고가 발생했다. 2020년 8월부터 2021년 11월까지는 쿠팡이츠 배달원 13만5000명의 개인정보가 유출됐다.쿠팡은 2019년 11월부터 배달원의 개인정보 보호를 위해 음식점에는 안심번호만 전송하는 방식으로 정책을 바꿨다고 밝혔으나, 2021년 11월까지도 안심번호는 물론이고 전송하지 않겠다고 한 배달원의 실명과 휴대전화번호까지 그대로 음식점에 전달한 것으로 파악됐다.2023년 12월에는 쿠팡이 운영하는 판매자 전용 시스템 ‘윙(Wing)’에서 로그인 시 특정 판매자에게만 보였어야 할 주문자·수취인 2만2440명의 개인정보가 다른 판매자에게 노출되는 사고가 발생했다.이달에는 3370만개의 고객 계정이 외부로 유출된 사실이 드러났다. 노출된 정보는 이름, 이메일 주소, 배송지 주소, 배송지 전화번호 등이다.쿠팡은 “해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정된다”며 “결제 정보, 신용카드 번호, 로그인 정보는 노출되지 않았다”고 밝혔다.한편 전날 과학기술정보통신부는 쿠팡 침해사고 및 개인정보 대규모 유출 사고와 관련해 민관합동조사단을 꾸려 사고 원인 분석 및 재발 방지 대책을 마련할 계획을 밝혔다.유출 정보 중 국민 다수의 연락처, 주소 등이 포함돼 신속한 조사를 거쳐 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재할 방침이다.아울러 과기정통부와 개인정보위는 유출정보 등을 악용해 스미싱 등 2차 피해가 일어나는 것을 방지하기 위해 보호나라 누리집을 통해 대국민 보안 공지도 진행한다. 정부는 "쿠팡 해킹 피해를 악용한 스미싱 및 보이스피싱 위협이 거세질 수 있다며 사용자 주의가 필요하다"며 "특히 피해 보상, 피해사실 조회, 환불 등 키워드를 활용해 쿠팡을 사칭한 피싱이 일어날 수 있다"고 경고했다.