▲서울 송파구 쿠팡 본사 모습. ⓒ 연합뉴스
최근 쿠팡의 대규모 개인정보 유출 사태가 단순한 보안사고를 넘어 '디지털 거버넌스의 붕괴'를 보여주는 사례라는 전문가 진단이 나왔다.
차경훈 한국투명성기구 정책위원(업플래시 대표, CISA)은 지난 4일부터 5일까지 기자와의 이메일 인터뷰에서 "이번 사태는 정보시스템 거버넌스와 내부통제가 설계·운영 측면 모두에서 장기간 기능하지 못한 결과"라고 지적했다.
차 위원은 쿠팡 퇴직자의 인증키가 장기간 방치되고, 약 5개월 동안 비인가 접근을 탐지하지 못한 점을 문제 삼았다. 그는 "로그 모니터링, 이상징후 탐지, 경보 체계 등이 형식적으로만 구축되어 있었고, 실제 위험을 조기에 식별하는 수준에는 미치지 못했다"고 분석했다.
특히 이번 사건을 기술적 결함이 아닌 조직문화의 문제로 진단했다. "최고경영진의 의지와 통제 환경, 보안·프라이버시를 중시하는 조직문화가 충분히 자리 잡지 못했을 때 어떤 리스크가 현실화되는지 보여주는 사례"라는 것이다.
3370만 건 규모의 의미는 "국가적 신뢰 위기"
차 위원은 3370만 건이라는 유출 규모가 단순한 기업 사고를 넘어선다고 강조했다. "전체 국민의 상당수가 직접 혹은 간접적으로 영향권에 놓일 수 있다"며 "대규모 플랫폼 기업의 데이터가 이 정도 규모로 유출될 경우, 디지털 서비스 전반에 대한 이용자 신뢰가 흔들릴 수 있다"고 우려했다.
개인 차원에서는 소셜 엔지니어링, 피싱·보이스피싱, 계정 탈취 등 2차 피해 가능성이 실질적으로 증가한다는 점도 지적했다.
쿠팡이 초기 피해 규모를 4500건으로 신고했다가 10여일 만에 3천만 건 이상으로 정정한 것에 대해서는 "사고 인지·평가·보고 과정의 성숙도와 정확성 측면에서 구조적 미비가 있었음을 강하게 시사한다"고 평가했다.
차 위원은 "로그 데이터의 보존·분석 체계, 포렌식 역량, 사고 영향도 분석 프로세스가 충분히 정교하게 운영되지 못했을 가능성을 보여준다"며 "경영진과 조직이 상황의 심각성을 과소평가했거나, 적어도 충분히 파악하지 못한 상태에서 공표된 것"이라고 분석했다.
"유출 아닌 노출" 표현 사용도 문제
차 위원은 쿠팡이 '유출' 대신 '노출'이라는 표현을 사용한 점도 비판했다. "'유출'은 개인정보가 비인가자에게 실제로 전달된 상태를 의미하여 법적·규제상 의무가 직접적으로 수반되는 개념"이라며 "비인가 접근과 다운로드 가능성이 확인된 사안에서 '노출'과 같은 완화된 표현을 사용하는 것은 사건의 심각성을 낮춰 보이게 만들 위험이 있다"고 지적했다.
차 위원은 쿠팡의 정보보호 투자가 매출 대비 약 0.2% 수준(2024년 기준)에 불과하다는 점을 구조적 문제로 지목했다.
그는 한 언론사 공개 자료를 인용해 "아마존은 매출 대비 약 1.0~1.4%를 보안에 투입하는 것으로 추산된다. 이는 쿠팡의 약 5배에서 7배 수준"이라고 설명했다. 중국 알리바바의 경우도 매출의 약 1.5% 안팎을 보안 및 데이터 컴플라이언스에 투입하는 것으로 알려졌다.
차 위원은 "쿠팡은 글로벌 동종 업계와 유사한 수준의 데이터를 처리하면서도, 그에 상응하는 보안·컴플라이언스 투자를 충분히 따라가지 못한 책임에서 자유롭기 어렵다"고 비판했다.
김범석 쿠팡 의장 등기이사 사퇴, "권한-책임 비대칭 구조"
▲차경훈 정책위원 ⓒ 차경훈
차 위원은 김범석 쿠팡 의장이 한국 법인 등기이사에서 물러나 있는 지배구조를 "권한-책임 비대칭"이라고 표현하며 문제를 제기했다.
그는 "실질적 의사결정권자가 한국 법인 등기이사에서 물러나 있는 상황에서는, 중대한 사고 발생 시 지배구조 상의 책임 추적성과 투명성이 저하될 위험이 크다"며 "전략적 의사결정은 지배주주 수준에서 이뤄지지만, 규제·감사·제재는 국내 법인 수준에 한정되는 구조적 비대칭이 발생한다"고 설명했다.
그는 이러한 구조가 쿠팡만의 문제가 아니라 해외 본사를 둔 글로벌 플랫폼 기업 전반의 구조적 특성이라고 진단했다. 다만 "그 구조적 한계를 인지하고도 이를 적극적으로 시정·보완하기 위한 노력 여부는 각 기업의 책임 영역"이라고 강조했다.
쿠팡이 정보보호 관리체계 인증(ISMS-P)을 보유하고도 이런 사태가 발생했다는 점에 대해서는 현행 인증제도의 한계를 지적했다.
차 위원은 "이번 사건은 '인증 취득'과 '통제의 실질적 운영' 사이에 적지 않은 간극이 존재할 수 있음을 드러낸 사례"라며 "권한 관리, 계정 관리, 로그 및 모니터링 등 고위험 영역에 대해서는 단순 서류 검토나 제한적 샘플링만으로는 실제 운영 실태를 확인하기 어렵다"고 지적했다.
그는 "인증은 출발점일 뿐, 핵심은 지속적인 이행과 개선"이라며 "기업이 이를 충분히 이해하지 못하고 인증을 일종의 '방패'처럼 활용했다면, 그것 자체가 거버넌스 상의 문제"라고 비판했다.
"근본적 변화 위해 경영진 책임성 강화 시급"
차 위원은 근본적 변화를 위해 가장 시급한 것으로 네 가지를 제시했다.
첫째, 경영진과 이사회의 책임성과 투명성을 강화하는 거버넌스 정비. 둘째, 통제의 '운영 효과성'에 초점을 맞춘 내부통제 재정비. 셋째, 징벌적 제재의 실효성 확보와 예측 가능한 규제 환경 조성. 넷째, 통제 담당자와 실무진의 인식 제고 및 교육 강화다.
그는 "개인정보 보호 체계의 성숙도는 시스템 자체보다도, 이를 운영하는 사람과 조직문화, 그리고 이를 견인하는 리더십에 의해 결정된다"며 "이번 사태에서 드러난 여러 한계를 기업이 스스로 인정하고, 단기적 이미지 관리가 아닌 중장기적인 거버넌스·통제 개혁으로 이어져야 할 것"이라고 강조했다.
* 차경훈 한국투명성기구 정책위원: Deloitte 이사와 EY한영 Senior Manager를 역임하며 IT 내부통제, 정보보호 거버넌스 분야에서 활동해왔다. 현재는 업플래시 대표로서 기업의 내부통제·리스크 평가 체계 구축을 지원하고 있으며, 국제공인정보시스템감사사(CISA) 자격을 보유하고 있다.