정보보호위원회 통합 관리 부재
플랫폼 기업 내부자 통제 필요
[세종=뉴스핌] 이경태 기자 = 국내 1위 e커머스인 쿠팡에서 3370만 개에 달하는 고객 계정 정보가 유출된 사실이 드러나면서, 개별 기업의 보안 실패를 넘어 정부의 사이버보안 컨트롤타워 부재가 '도마 위'에 올랐다.
사고가 발생한 시점은 6월이지만, 기업과 정부 어느 쪽도 5개월 동안 이 이상 징후를 감지하지 못한 채 방치한 것으로 드러나 '국민 플랫폼 보안 참사'라는 비판이 거세다.
◆ 5개월 속수무책 개인정보 유출…한국인 정보는 '공공재(?)
쿠팡에 대한 조사 결과, 해외 인터넷 프로토콜(IP)을 통한 비정상 접속은 지난 6월 24일 전후부터 시작된 것으로 추정된다. 이 기간 동안 이름, 이메일, 휴대전화 번호, 배송지 주소와 주소란에 적힌 공동현관 비밀번호, 일부 주문 내역 등 계정을 식별하고 생활 동선까지 추적 가능한 수준의 정보가 장기간 외부에 노출됐다는 분석이 나온다.
이런데도 쿠팡 내부 모니터링 시스템과 국가 차원의 침해 탐지·경보 체계는 지난달 중순 한 이용자의 민원 제기 전까지 아무런 이상을 포착하지 못했다.
쿠팡은 앞서 지난달 18일에서야 유출 징후를 인지했고 이후 관계기관에 신고했다. 29일 처음으로 "약 4500개 계정이 무단 노출됐다"고 발표했다가 추가 분석 과정에서 피해 규모를 3370만 계정으로 정정해 신뢰성 논란을 자초했다. 사실상 전체 회원이 영향을 받았다는 점에서, 과거 SK텔레콤·포털·카드사 유출 사건을 모두 뛰어넘는 국내 최대 규모 사고로 평가된다.
피해 정보의 성격도 심각하다. 단순 이메일·아이디가 아니라, 최근 주문 내역과 상세 주소, 공동 현관 비밀번호까지 결합돼 있어 택배 사칭 범죄, 주거 침입, 표적 스미싱 등 2차 피해 위험이 크게 높아졌다는 우려가 제기된다.
정부와 보안 업계는 다크웹 등을 모니터링하며 실제 매매 정황을 추적 중이지만, 이미 한국인의 실생활 정보가 공공재처럼 떠돌게 된 것 아니냐는 비난이 이어지고 있다.
◆ '국민 플랫폼'인데 정부 컨트롤타워는 없었다
이번 사태를 계기로 가장 거센 비판이 쏟아지는 지점은 정부의 역할이다. 개인정보보호위원회는 신고 접수와 제재를, 과학기술정보통신부는 정보보호·인증 정책을, 금융당국은 전자금융 시스템을 나눠 맡고 있어, 쿠팡 같은 거대 플랫폼을 통합적으로 바라보고 상시 감시할 단일 컨트롤타워가 부재했다는 지적이다.
실제로 피해 추정 규모가 수천만건에 이르는 동안 어떠한 국가 차원의 자동 경보나 교차 점검도 작동하지 못했다는 점에서, 제도가 무색하다는 비판이 끊이질 않는다.
정부는 사건이 불거진 뒤에서야 과기부·개인정보위원회·경찰청·한국인터넷진흥원 등이 참여하는 민관합동조사단을 부랴부랴 꾸려, 유출 경위와 쿠팡의 보호조치 의무 위반 여부를 전반적으로 들여다보고 있다.
그러나 6월부터 이어진 비인가 접속을 5개월 동안 놓친 데다, 초기 신고 4500건이 3370만 건으로 불어나는 과정에서도 기업의 축소 보고 가능성을 선제적으로 검증하지 못했다는 점도 지적을 받는다.
일정 규모 이상의 온라인 플랫폼은 통신망·전력망처럼 국가 경제·생활에 직접 영향을 미치는 '중요 정보 인프라'에 준하는 존재다. 그런데도 인증·점검 제도가 여전히 자율 준수와 서류 심사에 치우쳐 실질적인 위험 감시 기능을 하지 못했다는 비난도 이어진다.
수사당국과 업계는 이번 사고의 배경으로 내부자 개입 가능성에 무게를 두고 있다. 전직 직원이 퇴사 후 해외에서 쿠팡의 서버 인증 취약점을 이용해 정상 로그인 절차를 우회한 뒤 대규모 데이터를 내려받았다는 의혹이 유력하게 제기된다.
다만 현행 제도는 이런 위험을 정면으로 겨냥하지 못하고 있다. 금융·기간통신·보안 전문기업의 경우 특정 국가 인력에 대한 채용 제한, 강화된 신원조회, 퇴사 시 단말기·계정 포렌식 등 고강도 내부자 통제 의무가 부과된다.
이와 달리 플랫폼 기업 전반에는 같은 수준의 규제가 적용되지 않는다. 그 결과 국민 다수의 생활 데이터를 쥐고 있는 쿠팡은 외국인 인력과 퇴사자 관리, 내부 권한 회수와 로그 점검을 사실상 기업 자율에 맡겨오다 보니 허점이 한꺼번에 드러났다는 분석도 나온다.
◆ '사후 제재'에서 '상시 감시'로 규제 패러다임 전환 요구
쿠팡의 법적 지위도 논쟁거리다. 미국 델라웨어에 설립된 주식회사 쿠팡(Coupang, Inc.)이 모회사이고 한국 법인은 100% 자회사 형태이지만, 실제 영업과 데이터 처리, 소비자 접점은 압도적으로 국내에 집중돼 있다.
국내에서 국민 데이터를 다루는 이상 실질적으로는 국내 중요 인프라 사업자로 보고, 외국계 플랫폼이라도 국내 보안 규제와 동일한 기준을 강제해야 한다는 목소리가 높아지고 있다.
최소한 국적을 불문하고서라도 국민 데이터를 다루는 사업자에겐 동일한 수준의 보안·내부자 통제 의무를 부과해야 한다는 공감대는 확산되고 있다.
결국 일정 규모 이상의 플랫폼을 대상으로 한 신속 공시 의무, 정기 스트레스 테스트, 위험 기반 상시 모니터링, 내부자·외부자 접근권한 통합 관리 의무가 입법 과제로 떠오른다.
최원혁 누리랩 대표는 "보안을 얘기할 때 일반적으로 외부에서 내부로 향하는 부분을 말하는데, 이번 사안은 특별한 상황이다 보니 정부의 구체적인 지침이 없다는 점이 문제"라며 "법안을 마련해도 미국 기업인 쿠팡에 대해 손을 쓰기도 제한적"이라고 지적했다.
최 대표는 "뿐만 아니라 보안기업은 외국인 채용에 상당부분 제한이 있다"며 "쿠팡은 보안 기업이 아니기 때문에 우리나라의 중요 데이터를 다루고 있어도 제한을 하기 어려워 외국인 채용과 관련해서 국내 법안의 허점을 드러낸 것"이라고 덧붙였다.
biggerthanseoul@newspim.com
