국내 최대 전자상거래 기업의 '890억 보안 투자'가 내부자의 한 번의 키 입력에 무너졌다. 3370만 명의 개인정보가 5개월 동안 새어 나가는 동안 누구도 눈치채지 못한 이번 초유의 사태는, 쿠팡의 보안 체계가 외부 해커가 아니라 '집 안의 적' 앞에서 완전히 무력했음을 드러냈다.

2일 박대준 쿠팡 대표가 국회 과학기술정보방송통신위원회(과방위) 현안 질의에 출석해 3370만 명 규모의 개인정보 유출 사태에 대해 고개를 숙였다. 박 대표는 그동안 사태를 축소하려 했다는 의혹을 받았던 '개인정보 노출'이라는 표현 대신 "유출이 맞다"고 인정하며 한국 법인 대표로서 책임을 지겠다고 밝혔다.

박 대표는 유출 경위에 대해 구체적인 입장을 내놨다. 중국인 직원이 용의자로 지목된 점에 대해 그는 "해당 직원은 단순 인증 업무 담당자가 아니라 인증 시스템을 개발하는 개발자"라며 "혼자 일하는 개발자는 없는 만큼 단수나 복수라고 단정할 수 없다"고 밝혀 조직적 개입 가능성을 배제하지 않았다. 다만 "쿠팡 IT 인력의 절반 이상이 중국인이라는 설은 사실무근이며 한국인이 압도적으로 많다"고 해명했다.

특히 피해 규모와 관련해 기존에 알려진 이름, 전화번호, 주소 외에 '공동현관 비밀번호'까지 일부 유출된 사실을 시인했다. 박 대표는 이를 안내 문자에 포함하지 않은 점에 대해 질타를 받자 "세심하게 신경 쓰겠다"고 답했다.

이번 사태가 충격을 주는 핵심 이유는 쿠팡이 그동안 정보보호 조직을 모범적으로 운영해온 것으로 평가받았기 때문이다. 쿠팡은 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 별도로 분리하여 운영해왔다.

통상적으로 기업 내에서 CISO는 해킹 방어 등 '기술적 보안'을 총괄하고, CPO는 개인정보 관련 법규 준수와 정보 주체의 권리 보호 등 '관리적·법적 보안'을 담당한다. 두 직책을 분리하는 것은 기술적 방어와 법적 감시가 상호 견제와 균형을 이뤄 보안 수준을 높이겠다는 의지를 뜻한다. 실제로 쿠팡은 올해 정보보호 부문에만 890억 원을 투자하며 삼성전자와 KT에 이어 국내 3위 규모의 보안 투자를 단행했다.

하지만 이러한 '칸막이식 전문화'와 막대한 자금도 내부자의 일탈 앞에서는 무용지물이었다. 이번 사고는 외부 해킹이 아니라, 권한을 가진 내부 직원이 인증 시스템의 취약점(서명된 액세스 토큰 및 암호키 악용)을 이용해 정상적인 경로로 위장하여 정보를 빼돌린 건이다.

전문가들은 이번 사태가 CISO와 CPO의 분리 운영만으로는 '내부자 위협(Insider Threat)'을 막기에 역부족임을 보여준다고 지적한다.

CISO가 구축한 방화벽은 외부 침입을 막는 데는 강력하지만, '정상적인 열쇠(인증 토큰)'를 가진 내부 직원의 접근은 공격으로 식별하지 못한다. CPO가 수립한 개인정보 처리 방침 또한 실제 시스템단에서 접근 권한 관리가 느슨하다면 서류상의 약속에 불과해진다.

결국 이번 사건은 ▲개발자에게 부여된 과도한 접근 권한 ▲민감 정보 접근에 대한 모니터링 부재 ▲중요 암호키 관리 소홀 등 기본적이지만 치명적인 '내부 통제(거버넌스)' 시스템이 작동하지 않았음을 시사한다. 3370만 명의 정보가 5개월간 빠져나가는 동안 이를 아무도 감지하지 못했다는 것은, 시스템이 외부의 적만 경계했을 뿐 내부의 구멍은 전혀 들여다보지 못했다는 방증이다.

김승주 고려대 정보보호대학원 교수는 이번 사태의 본질을 두고 "돈이 목적이었다면 즉시 협박했을 텐데, 5개월 뒤 피해자들에게 직접 알린 점으로 미루어 회사에 앙심을 품은 내부자의 소행일 가능성이 높다"고 분석했다. 아울러 김 교수는 "쿠팡의 상층부 의사결정권자가 대다수 외국인인 구조적 특성상, 수사가 한국 직원 선에서의 '꼬리 자르기'로 끝날 우려가 있다"며 다국적 기업의 내부 통제 실패에 대한 실효성 있는 제재 방안 마련이 시급하다고 강조했다.