[논단]쿠팡 개인정보 유출 사태가 던지는 화두

구형 시스템 방치·내부 신뢰의 함정
복잡한 규제, 사고 대응방식 손봐야

쿠팡 개인정보 유출 사태는 단순한 기술 사고가 아니다. SK텔레콤 유출 사태에 이어 반복된 이 사건은 우리 사회가 '데이터 시대의 기본 방어'를 얼마나 진지하게 받아들이고 있는지를 묻고 있다. 문제를 기술로만 돌리면 분노는 반복된다. 구조를 제대로 살펴야 한다.

첫째, 오래된 컴퓨터 시스템의 위험이다. 보안사고 대부분은 최신 기술을 쓰는 기업이 아닌, "잘 돌아가니 굳이 손대지 않는" 오래된 서버와 프로그램에서 터진다. 패치란 '이미 발견된 보안 구멍을 막는 업데이트'인데, 이것이 늦어지면 회사 시스템은 해커에게는 열린 문이나 다름없다. 쿠팡 사건도 구형 윈도 운영체제 사용과 업데이트 지연이 문제가 됐다는 의혹이 흘러나오며 비판을 키웠다. 기업이 첨단 기술을 자랑하더라도, 사고는 이런 숨은 '낡은 시스템'에서 터진다. 아낄 것을 아껴야 하지 않을까 하는 생각이 드는 것은 왜일까.

둘째, 사고 대응 커뮤니케이션의 실패다. 개인정보 유출 사고는 "언제 막았느냐와 얼마나 투명하게 알렸느냐"가 신뢰를 좌우한다. 확인이 늦고 안내가 불분명하면 불신은 추가 비용을 낳는다. 놀라운 사실은 많은 기업이 해킹이 일어난 지 상당히 뒤에야 이를 감지하고, 그 뒤에도 고객에게 알리기까지 시간이 걸린다는 것이다. 기술 수준의 문제가 아니라 위기 대응 체계와 태도의 문제다. 쿠팡이 처음 제시한 개인정보 피해 건수와 갈수록 불어나는 피해 숫자는 우리를 아연실색하게 만든다.

셋째, 규제의 역설이다. 한국은 개인정보 보호가 매우 강한 나라다. 강하다는 것이 곧 현명하다는 건 아니다. 규정이 지나치게 복잡하고 애매해지면 기업은 실질적 보안보다 문서 준비와 서류 체크에 에너지를 더 쓴다. 규제가 엄격해도 사고가 반복되는 이유는, 규제가 실무에 맞게 설계돼 있지 않아서다. 고객 보호 규제가 기업의 '핵심 보안 투자'를 밀어낼 수도 있다. 한국의 정책이 글로벌 표준과 거리가 먼 갈라파고스 규제인지 점검해 봐야 하지 않을까.

넷째, 보안 패러다임의 격차다. 미국은 "아무도 기본적으로 믿지 않는다"는 원칙의 제로 트러스트(Zero Trust) 모델로 이미 전환했다. 사내 직원이라도, 회사 서버 안에 있어도, 모든 접근을 한 번 더 확인하고 허용해야 한다. 한국 다수 기업은 여전히 "회사 내부는 안전하다"는 오래된 전제에 머물러 있다. 신뢰를 기본값으로 두는 방식은 과거에는 합리적이었다. 그러나 정보의 가치가 치솟고 사이버 공격이 비즈니스 타격으로 직결되는 시대에는 유효하지 않다.

이제 쏟아지는 질문을 쿠팡 같은 기업들이 피할 수 없게 되었다. 개인정보를 기업의 '부가 요소'로 여길 것인가, 고객 신뢰를 떠받치는 '생명선'으로 볼 것인가를 생각해 보라. 보안은 기술부서의 업무가 아니라 기업 생존 전략이다. 보안 업데이트를 제때 적용하고, 낡은 시스템을 교체하고, 정보 접근 권한을 꼭 필요한 사람에게만 열고, 사고가 나면 즉시 알리고 책임 있게 대응하는 것은 거창한 혁신이 아니라 기본 중의 기본이다. 바로 그 기본을 소홀히 한 기업부터 시장은 철저하게 외면받는다는 걸 명심해야 하지 않을까. 쿠팡 사태의 본질은 한가지다.

사람들은 상품보다 신뢰를 산다. 고객 정보를 지키지 못하는 기업은 결국 고객을 지키지 못한다. 이 사건이 "또 한 번의 분노"로 끝날지, "산업의 기준을 바꾸는 분기점"이 될지는 앞으로의 대응에 달려 있다. 우리 기업들이 이번 일을 계기로 한 단계 높아진 보안 기준을 받아들이고, 신뢰를 비용이 아니라 자산으로 다루기 시작한다면, 비극적 사고도 미래 경쟁력의 출발점이 될 수 있다고 생각한다.

조원경 UNIST 교수·글로벌산학협력센터장

<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>