제 2의 쿠팡 사태 막으려면⋯“법 기준·기업 책임 강화해야”[쿠팡 사태 100일, 이커머스 뉴노멀]

▲이종우(왼쪽부터) 아주대학교 경영학과 겸임교수, 황석진 동국대 국제정보보호대학원 교수, 염흥열 순천향대 정보보호학과 명예교수. (이투데이DB)

3370만 명의 개인정보가 유출된 ‘쿠팡 사태’는 2011년 싸이월드·네이트 사태 이후 국내 최대 규모 개인정보 유출 사고로 꼽힌다. 유출 규모가 막대하고 전 직원이라는 내부자에 의한 유출로 충격을 안겼다. 사태 공식화 100일을 맞은 2월 27일, 쿠팡의 개인정보 유출 사고에 대한 조사가 마무리 단계에 접어들었다. 정부와 여당은 이번 사태에 대해 개인정보위원회에서는 과징금, 공정위에서는 과태로와 시정조치 등의 제재를 검토하고 있다. 초기 가장 높은 수위의 제재로 거론됐던 영업정지는 적용이 어렵다고 판단하고 있다.

26일 국회에 따르면 고의·중과실에 따른 대규모 개인정보 유출 시 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 개인정보보호법 개정안이 12일 국회 본회의를 통과했다. 쿠팡 외에도 KT 등 개인정보 유출 사고가 이어지자 기존 3%였던 상한을 대폭 상향했다. 다만, 쿠팡 등 현재 조사 중인 사건에 소급 적용하기는 어려울 것으로 전해졌다.

학계·업계 전문가들은 ‘제2의 쿠팡 사태’를 막기 위해서는 전 산업에 걸쳐 개인정보 안전에 대한 기준을 바로 세우고, 기업 내 정보 취급 관리 체계를 강화해야 한다고 본다. 본지 자문위원인 이종우 아주대학교 경영학과 겸임교수는 유통산업이 오프라인에서 온라인으로 빠르게 전환되는 과정에서 법과 제도가 이에 맞게 정비되지 못해 지금의 사태가 이르렀다고 봤다. 오프라인 유통채널에서는 고객정보를 제공할 필요가 없었지만, 온라인 유통채널에서는 배송을 통해 상품을 받기 때문에 주소 등 민감한 개인정보까지 기업이 수집하게 됐다. 하지만 이런 과정에서 개인정보 보호 기준은 이를 따라오지 못했다는 것.

이 교수는 “정부가 기업 발전에 집중하면서 개인정보 보안에 대한 기준을 제대로 마련하지 못했다”며 “지금이라도 전문적으로 정비해야 한다. 인공지능(AI)이 확산하면 (보안) 문제가 더 심각해질 것”이라고 말했다.

이 교수는 정보보안을 재무와 연계시키는 조치가 필요하다고 판단했다. 그는 “개인정보 보호에 대한 준비가 되지 않으면 이를 취급하는 사업을 할 수 없도록 강력한 조치가 필요하다. 그래야 이런 일이 다시 일어나지 않는다”며 “ESG(환경·사회·지배구조) 공시처럼 개인정보 보안에 대해서도 기업이 정보고시까지 할 정도로 기준을 강화했으면 좋겠다”고 목소리를 높였다.

보안 전문가들은 이번 쿠팡의 개인정보 유출이 내부자로 인해 발생했다는 점에 주목했다. 황석진 동국대 국제정보보호대학원 교수는 “사고의 원인은 내부 통제에서 비롯됐다. 회사 데이터베이스(DB)에 접근할 수 있는 권한을 더욱 촘촘히 나눌 필요가 있다. 개인정보 취급 인가자와 비인가자를 철저히 나누고, 개인정보 비식별화·암호화 원칙을 지켜야 한다”고 말했다. 염흥열 순천향대 정보보호학과 명예교수도 “개발자와 운영자 간 역할을 엄격하게 구분하고, 퇴직자가 갖고 있던 권한을 철두철미하게 확인해서 말소시켜야 한다”며 “특히 외국인 직원의 권한을 최소화시켜야 한다고 본다”고 했다.

황 교수는 정보보안를 ‘비용’으로 보는 기업의 인식도 꼬집었다. 개인정보를 취급하는 많은 기업들이 정보보호를 규제 수준에 맞추는 수준에 불과하고, 비재무적 활동으로 취급하는 사례도 적지 않다는 것. 쿠팡의 경우 정보보호·개인정보보호 관리체계(ISMS-P)를 비롯해 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 관리체계 국제표준 등 7개의 국내외 보안·프라이버시 인증을 갖췄다. 황 교수는 “문제는 보안인증을 받는 이유가 보안체계를 공고히 하려는 부분도 있지만, 이런 인증이 있으면 사고가 발생했을 때 과징금이 감면되는 효과가 있다”며 형식적인 인증에서 실질적인 보안 체계 마련에 힘쓸 필요가 있다고 강조했다.

경영진 책임 강화에 대한 목소리도 거세다. 염흥열 교수는 “최고경영자(CEO)와 재무책임자(CFO) 등 경영을 책임지는 사람들이 최고정보보호책임자와 협력을 강화해 보안 체계를 강화하고, 책임도 늘릴 필요가 있다”며 “중대한 피해 발생한 유출 사고의 경우 경영진 개인이나 법인에 대해 형사처벌을 요구하는 수사를 의뢰할 수 있어야 할 것”이라고 짚었다. 황석진 교수 역시 “지금은 유출 사고가 발생해도 형사적 책임을 묻지 못한다”며 “최고정보보호책임자뿐 아니라 최고경영자 등이 강력한 책임을 질 수 있도록 제도를 강화할 필요가 있다”고 덧붙였다.