CloudPNG

ºC

logo
IT/바이오

쿠팡 개인정보 유출 대응 TF 출범…정부, 정보보호 제도 손본다

조민석 기자
입력

대규모 전자상거래 플랫폼에서 발생한 개인정보 침해 사고가 국내 디지털 산업 전반의 보안 기준을 다시 묻고 있다. 수천만 이용자의 계정 정보가 유출된 이번 사건을 계기로 정부는 범부처 차원의 전담 조직을 꾸려, 사고 수습과 함께 정보보호 제도 전반을 재점검하겠다는 방침을 내놨다. 온라인 플랫폼 의존도가 높아진 상황에서 개인정보 보호 규제가 실제 산업 현장에서 어떻게 작동해야 하는지가 핵심 쟁점으로 부상한 모습이다. 업계에서는 이번 대응이 플랫폼 보안 의무와 책임성 강화를 둘러싼 규제 환경의 분기점이 될 수 있다는 관측도 나온다.

 

정부는 18일 열린 제2차 과학기술관계장관회의에서 이른바 쿠팡 개인정보 유출 사태를 범부처 최우선 과제로 상정해 긴급 대응 방향을 확정했다. 최근 약 3380만 개 계정의 고객명과 이메일 등 주요 식별 정보가 외부로 유출된 정황이 확인되면서, 전자상거래 생태계 전반에 대한 신뢰 훼손과 2차 금융·스미싱 피해 우려가 빠르게 확산된 데 따른 조치다. 전날 국회 청문회에서도 쿠팡의 초기 대응이 소극적이었다는 지적과 함께, 현행 정보보호 제도가 초대형 플랫폼 리스크를 충분히 반영하지 못하고 있다는 문제 제기가 이어졌다.

특히 이번 사건은 단일 플랫폼에서 수천만 계정의 데이터가 한 번에 노출됐다는 점에서 기존 개별 사이트 단위의 침해 사고와 성격이 다르다는 평가가 나온다. 전자상거래 플랫폼은 결제 정보, 구매 이력, 위치 데이터 등 민감도가 다른 다층적 데이터를 함께 보유하고 있어, 한 번의 침해가 각종 피싱 공격과 계정 탈취, 신용카드 불법 사용으로 이어질 수 있는 구조다. 정부가 사고 초기부터 범부처 컨트롤타워를 띄운 배경에는 단일 법령이나 한 기관 차원에서 대응하기 어렵다는 구조적 특성이 깔려 있다.

 

정부가 구성하는 범부처 대응 태스크포스는 류제명 과학기술정보통신부 2차관을 팀장으로 한다. 구성에는 과학기술정보통신부를 비롯해 개인정보보호위원회, 방송미디어통신위원회, 금융위원회, 공정거래위원회, 국가정보원, 경찰청 등 관계기관 국장급이 참여한다. 통신, 금융, 경쟁정책, 국가안보, 수사 등 서로 다른 관점에서 개인정보 침해 문제를 바라보는 부처들이 한 테이블에 모이는 셈이다. 정부는 이달 넷째 주 킥오프 회의를 시작으로, TF 팀장이 수시로 회의를 소집해 진행 상황을 점검하는 상시 운영 체계를 구축할 계획이다.

 

TF의 핵심 역할은 네 갈래다. 첫째, 쿠팡 정보유출의 원인과 경로를 규명하기 위한 기술적 침해사고 조사와 수사를 지원한다. 여기에는 정보통신망법, 개인정보보호법 위반 여부와 더불어, 기업이 사전에 구축했어야 할 암호화, 접근통제, 침입 탐지 시스템이 적절했는지에 대한 정밀 검증이 포함될 가능성이 크다. 둘째, 이용자 피해 확산을 줄이기 위한 안내와 보호 조치가 논의된다. 비밀번호 변경, 계정 모니터링 가이드라인은 물론, 유출 사실 통지 기준과 방법을 표준화하는 방안도 검토 테이블에 오를 수 있다.

 

셋째, 정보보호 인증제도 개편이 논의 대상이다. 현재 전자상거래와 같은 정보통신서비스 제공자는 일정 기준 이상의 정보보호 관리체계 인증을 받도록 규정돼 있지만, 초대형 플랫폼의 데이터 규모나 공격 표면 증가를 반영한 별도 트랙이 필요하다는 지적이 꾸준히 제기돼 왔다. 쿠팡 사태를 계기로 인증 기준을 상향하거나, 클라우드 사용 환경, 인공지능 기반 보안 모니터링 등 새로운 기술 요소를 의무 항목에 반영할 가능성도 제기된다. 넷째, 기업의 책임성 강화를 위한 제재 체계와 사고 이후 조치 의무도 함께 논의될 전망이다.

 

국제적으로 보면 플랫폼 기반 디지털 경제가 확대되면서 개인정보 보호와 사이버 보안 거버넌스를 재정비하는 흐름이 이미 본격화된 상황이다. 유럽연합은 개인정보보호법을 통해 위반 시 매출액의 일정 비율을 과징금으로 부과할 수 있는 강력한 제재 체계를 운영 중이며, 미국과 일본도 대형 온라인 사업자에 대한 보안 점검과 보고 의무를 강화하는 법제화를 추진하고 있다. 이번 범정부 TF는 국내에서도 이와 비슷한 수준의 규범과 기술적 기준을 마련하는 출발점이 될 수 있다는 평가가 나온다.

 

국내 디지털 산업계에서는 이번 대응이 단기 사고 수습을 넘어, 클라우드 기반 인프라 재점검과 데이터 수명주기 전반에 대한 관리 기준 재정립으로 이어질 수 있다는 관측도 제기된다. 신용정보, 의료정보 등 민감 정보와 연계된 사업을 준비해 온 기업으로서는 규제 환경 변화에 따라 사업 전략을 다시 짤 필요성이 생길 수 있다. 동시에, 보안 투자 확대와 인증 기준 강화가 단기 비용 요인으로 작용하더라도, 장기적으로는 국내 플랫폼 서비스의 신뢰도를 높여 글로벌 사업 확장에 도움이 될 수 있다는 시각도 있다.

 

정부 관계부처는 향후 TF 논의 결과를 바탕으로 관련 법령과 제도 개선 방향을 구체화할 계획이다. 온라인 플랫폼 중심의 디지털 경제 구조에서 대규모 개인정보 유출이 반복될 경우, 산업 전체 신뢰 기반이 흔들릴 수 있다는 우려도 커지는 만큼, 법과 기술, 기업 책임의 균형을 어떻게 맞출지가 관건으로 떠오르고 있다. 산업계는 이번 TF가 쿠팡 사태를 넘어, 국내 디지털 보안 체계를 한 단계 끌어올리는 계기가 될 수 있을지 주목하고 있다.

조민석 기자
share-band
밴드
URL복사
#쿠팡#개인정보유출#범정부tf