[단독] ‘기본’만 지킨 보안스펙…쿠팡, 뒤늦게 ‘SOC2’ 인증 검토
쿠팡이 받으려는 인증은 미국공인회계사회(AICPA)와 국제감사인증기준위원회가 제정한 것으로, 국내 이커머스 시장의 강력한 경쟁자인 네이버는 이미 십여년전 획득해 매년 갱신 중인 인증이다.
8일 유통업계와 보안업계에 따르면, 쿠팡은 SOC2 인증 획득을 위한 초기 작업에 들어갔다.
업계 한 관계자는 “현재 쿠팡은 SOC2 인증에 따른 장기적 효과 측면 등을 고려하고 있는 단계”라고 전했다.
유료회원 1400만명(2023년 기준), 프로덕트 커머스(로켓배송·로켓프레시·로켓그로스) 활성고객수 2470만명(2025년 3분기 기준)을 확보한 ‘유통 공룡’의 사후약방문식 대응이라는 지적이 제기된다.
SOC는 ISO 27001, ISMS과 함께 3대 정보보호 인증으로 꼽힌다. AICPA가 제정한 기준으로, 서비스 제공 기관이 고객 데이터 보안과 운영의 투명성을 엄격히 준수하는지를 평가하는 인증이다. 업계에선 보안성·가용성·처리무결성·기밀성·개인정보보호에 초점을 둔 엄격한 감사를 통과해야 획득이 가능한 인증으로 인식되고 있다.
특히 북미·유럽 등 글로벌 시장에서 필수적으로 요구되고 있는데, 정작 미국 뉴욕증시 상장사인 쿠팡엔 없다.
보안업계 한 관계자는 “SOC 인증 획득 여부는 정보보호 관리의 엄격성을 판단하는 잣대로 여겨지고 있다”며 “방대한 규모의 고객정보를 취급하는 쿠팡이라면 글로벌 스탠더드로 통용되는 SOC 정도는 진작 받았어야 했다”고 지적했다.
그는 “대규모 정보유출 사태로 무너진 신뢰를 회복하려면 SOC 인증은 기본이고, 이외에 최대한 다양한 국제 인증들을 받아 지속적으로 안전성을 검증받을 필요가 있다”면서 “정보보호에 대한 투자가 보다 촘촘해질 필요가 있다”고 말했다.
쿠팡은 △국제표준화기구(ISO)·국제전기기술위원회(IEC)가 제정한 정보보호·개인정보보호·클라우드 서비스 정보보호 관리체계 국제표준 ISO/IEC 27001·27701, 27017 △국내 개인정보보호법 준수에 필수적으로 요구되는 ISMS(정보보호 관리체계 인증), ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 등 국제 활동이나 국내 법 준수를 위한 기본 보안스펙만 갖춘 수준이다.
여기에 △신용카드 정보를 직접 취급하는 기업에게 기본적으로 요구되고 있는 PCI DSS △개인정보보호 수준을 ‘최초로 입증’하는 기업들이 주로 취득하는 ePRIVACY △기업 개인정보보호체계를 평가하는 국제 인증인 APEC/ Global CBPR 등을 추가한 정도다.
반면, 쿠팡의 이커머스 경쟁자로 등장한 네이버의 경우, 이미 2012년 SOC 인증을 획득해 매년 갱신 중이다. 2012년 국내 최초로 SOC2(보안 중심), SOC3(서비스 운영 투명성 중심) 인증을 동시에 획득했다. 이후 10년 이상 이들 인증을 갱신해 오고 있다.
https://n.news.naver.com/article/029/0002998198?sid=101
