CloudPNG

ºC

logo
IT/바이오

“보안은 비용이 아니다”…이해민, 쿠팡 관행 비판 파장

박선호 기자
입력

구글 출신 이해민 조국혁신당 의원이 최근 대규모 개인정보 유출 사고를 일으킨 쿠팡의 보안 관행을 정면 비판하고 나섰다. 글로벌 IT 기업들이 보안을 핵심 경쟁력으로 인식하며 규제 수준을 상회하는 기준을 자발적으로 적용하는 것과 달리, 국내 플랫폼 기업 상당수가 정부 규제가 요구하는 최소 수준만 충족하는 데 그치고 있다는 지적이다. 업계에서는 이번 발언이 국내 이커머스와 플랫폼 산업 전반의 보안 투자와 데이터 거버넌스 체계 재정비를 촉발하는 분기점이 될 수 있다는 평가도 조심스럽게 나온다.

 

구글에서 15년 이상 근무한 이해민 의원은 최근 방송 인터뷰에서 쿠팡의 개인정보 유출 사태를 거론하며 “보안에 대한 인식 자체가 글로벌 기업들과 다르다”고 말했다. 그는 “정부 규제의 최소한만 지키면 면죄부를 받은 듯 행동하는 태도가 이번 사태를 키웠다”며, 국내 주요 IT 기업들이 보안을 규제 준수 항목 정도로만 취급해 온 관행을 문제로 짚었다.

이 의원은 글로벌 빅테크의 관행과 대비되는 인식 차를 강조했다. 그는 “글로벌 빅테크 기업들은 보안을 비용이 아니라 회사의 핵심 경쟁력이라고 생각한다”며 “보안 투자와 인력 확충을 없어지는 돈으로 보지 않는다”고 설명했다. 아울러 “우리 회사의 서비스가 안전하다고 말할 수 있는 것이 곧 기업 가치 상승으로 이어진다는 인식이 강하다”며 “그래서 나라별 규제보다 더 세게 하면 했지, 절대로 더 아래로 내려가지 않는다”고 지적했다.

 

쿠팡을 포함한 국내 기업들의 최근 사고 양상도 언급했다. 이 의원은 “올해 쿠팡을 비롯해 굉장히 많은 사고들이 터졌다”면서 “볼 때마다 느끼는 것은 우리나라 기업들은 정부에서 규제하는 것의 미니멈만 지키려 한다는 점”이라고 말했다. 규정 준수 중심의 ‘체크리스트식 보안’에 머무르며, 기술적 복원력과 조직 차원의 리스크 관리 문화가 뒷받침되지 못했다는 뜻으로 풀이된다.

 

유출된 정보의 성격과 위험도에 대해서는 특히 강하게 경고했다. 그는 “민감정보는 기본적으로 철저히 보호돼야 한다. 그래야만 그 서비스를 사용하는 사용자가 안전하다고 느낄 수 있다”며 “이런 사고가 터지면 이용자들의 불안감이 커질 수밖에 없다”고 강조했다. 민감정보 보호 실패는 단순한 일회성 사고가 아니라 서비스 신뢰도와 브랜드 가치 전반을 훼손하는 구조적 리스크라는 해석이 가능하다.

 

민감정보 접근권한 관리의 기술적·조직적 기준도 짚었다. 이 의원은 “민감정보에 대한 접근권한은 매우 제한적이어야 한다. 아주 명확하게 규정된 사람들만 접근할 수 있도록 해야 한다”며 “그 권한 자체가 체계적으로 관리돼야 한다”고 말했다. 이어 “쿠팡의 경우 그러한 민감정보가 데이터베이스에 접근할 수 있는 권한 자체가 존재하지 않았어야 한다”며 “그걸 허용했다는 것 자체가 그 권한 관리를 아예 제대로 못 했다는 것”이라고 비판했다.

 

쿠팡 측이 설명한 다중 인증 체계에 대해서도 문제를 제기했다. 그는 “다중 인증 체계가 존재한다고 하는데, 그럼 더 문제”라고 지적했다. 만약 내부 계정과 권한이 체계적으로 관리되고 있었다면, 비정상적인 접근 시도나 이상 징후를 회사 차원에서 중간에 차단할 수 있는 장치가 작동했어야 한다는 취지다. 이 의원은 “만약 이 사람에 대한 관리가 되고 있었다면 회사 차원에서 차단 장치가 다 존재했어야 하는데, 그것도 작동을 안 했다”며 “결국 사람 관리를 제대로 못 한 것”이라고 말했다.

 

이해민 의원은 구조적 해결책으로 징벌적 손해배상을 도입하는 정보통신망법 개정안 추진 배경도 설명했다. 그는 “명백한 잘못은 회사에 있는데 피해는 고스란히 고객이 떠안는 구조 자체가 문제”라며, 사고 발생 시 기업의 책임 회피를 어렵게 만드는 법적 장치가 필요하다고 강조했다. 개정안이 통과될 경우 대규모 유출 사고에 대한 재무적 부담이 커지면서, 기업들이 선제적인 보안 투자와 리스크 관리를 강화할 유인이 생길 것이라는 관측도 나온다.

 

이번 사건의 본질적 위험성에 대해서는 단순한 개인정보 항목 유출을 넘어 쇼핑 패턴 정보가 유출됐다는 점에 방점을 찍었다. 그는 “쇼핑 패턴이 유출된 것은 기존에 유출됐던 정보들과는 차원이 다른, 매우 고급 정보”라고 평가했다. 구매 이력과 시간대, 결제 방식, 카테고리 선호도 등이 결합된 데이터는 개인의 생활 패턴과 경제 수준, 건강 상태, 가족 구성 등까지 유추할 수 있는 만큼, 2차와 3차 피해를 유발할 여지가 크다는 해석이 나온다.

 

이 의원은 “2차, 3차 피해가 언제 발생할지 모르는 상황”이라며 장기적인 피해 가능성을 우려했다. 계정 탈취, 표적 피싱, 맞춤형 스캠, 보험·대출 차별 등 다양한 형태의 악용 위험이 존재하는 만큼, 단기간의 보상이나 사과에만 그칠 사안이 아니라는 것이다. 그는 “이 사건으로 인해 발생할 수 있는 추가 피해에 대해 정부와 기업 모두가 지금부터 대비해야 한다”고 거듭 강조했다.

 

업계에서는 이번 논의를 계기로 국내 IT와 이커머스 기업들의 보안 전략이 규제 대응 중심에서 데이터 자산 보호와 신뢰 구축 중심으로 재편될 수 있을지 주목하고 있다. 동시에 정보통신망법 개정과 징벌적 손해배상 도입 논의가 어떻게 정리되느냐에 따라, 향후 국내 디지털 산업의 성장 속도와 보안 수준 간 균형이 새로운 정책 과제로 부상할 가능성도 제기된다. 산업계는 보안과 책임의 새로운 기준이 실제 시장에 안착할 수 있을지 예의주시하는 분위기다.

박선호 기자
share-band
밴드
URL복사
#이해민#쿠팡#정보통신망법개정안