▲박상주 자본시장부장
쿠팡의 고객정보 유출 사건은 최근 정보보안 사고의 심각성을 드러내는 사례로 주목받고 있다. 이 사건은 정부의 대응 방식과 기업의 보안 책임에 대한 논의의 중심에 있다. 정부는 범정부 차원에서 쿠팡에 대한 조사를 진행하고 있으며, 이에 따라 여러 부처가 동시에 개입하고 있다. 하지만 이러한 대응이 과연 정보보안 강화를 위한 실질적인 방안인지에 대한 의문이 제기된다.
정부는 지난해 6월 말부터 쿠팡 고객 계정 약 3370만개에 무단접속이 발생했다고 밝혔다. 이 사건의 용의자는 중국 국적의 전직 개발자로, 인증 시스템 관련 업무를 맡았던 인물이다. 그는 퇴사 후에도 인증용 암호키를 통해 고객정보에 접근한 것으로 추정된다. 법무부는 중국에 형사사법공조를 요청했지만, 중국의 불인도 원칙으로 인해 신병 확보는 어려울 것으로 보인다.
현재 정부의 대응은 범인 검거보다는 쿠팡에 대한 제재에 초점을 맞추고 있다. 배경훈 부총리는 쿠팡 사태 범정부 태스크포스(TF) 회의를 주재하며 “법적으로 가능한 모든 방안을 강구하겠다"고 밝혔다. 공정거래위원회는 쿠팡의 유출 정보 성격과 피해 규모를 고려해 영업정지 처분을 검토할 수 있다고 경고했다. 경찰은 전담조직을 구성해 쿠팡 관련 사건을 조사하고 있지만, 유출자의 소재나 출국경로에 대한 정보는 여전히 부족하다.
쿠팡과 정부의 유출 규모에 대한 주장은 상반된다. 쿠팡은 글로벌 보안 업체의 포렌식 결과를 인용해 실제 유출된 정보는 3000개 안팎의 일부 항목에 그쳤다고 주장했다. 반면, 정부는 3370만건 이상의 개인정보가 유출됐다고 발표했다. 이러한 상반된 주장은 사건의 진실을 더욱 복잡하게 만들고 있다.
정부의 대응 방식에 대한 비판도 제기된다. 정보유출 사고를 계기로 정부가 쿠팡의 전반적인 경영 성과와 정책 협조 여부를 문제삼는 것은 법치국가 원리에 어긋난다는 지적이 있다. 법치국가에서 행정조사와 제재는 구체적인 행위확정과 인과관계를 전제로 해야 한다. 그러나 현재의 조사 방식은 기업의 정보보안 체계를 실질적으로 강화하지 못하고 있으며, 오히려 조사 범위가 무차별적으로 확장되고 있다.
이러한 상황에서 기업들은 보안 사고에 대한 책임을 묻는 것처럼 보이지만, 실제로는 정보보안에 대한 책임 소재가 불분명해지고 있다. 이는 기업들이 실질적인 보안 투자보다는 단기적 리스크 회피에 집중하게 만들며, 결과적으로 산업 전체의 경쟁력을 약화시키는 요인으로 작용할 수 있다.
전문가들은 정부의 대응이 과도해질수록 기업들은 문제 해결보다 법적 방어와 리스크 관리에 더 많은 자원을 투입하게 될 것이라고 경고한다. 이는 정보 공개와 협력을 위축시키고, 전체 산업의 보안 수준 향상이라는 정책 목표와도 멀어지게 만든다.
결국, 쿠팡의 개인정보 유출 사건은 정보보안 문제를 넘어 정부와 기업 간의 신뢰 문제로 확산되고 있다. 정부는 호흡을 고르고 기업의 정보 유출 사고가 더는 반복되지 않도록 제도와 기술을 정교하게 다듬는 일에 집중해야 한다. 예측 가능한 제도적 환경 속에서 기업과 정부가 협력적으로 문제를 해결해 나가는 구조가 필요하다. 이를 통해 외양간을 고치고 국민도 안심할 수 있는 환경을 조성해야 한다.
정보보안 사고는 정보보안의 문제로 다루어져야 하며, 그 범위를 넘어선 과도한 개입은 경계해야 한다. 부당결부와 감정적 제재는 법치주의에 가깝지 않으며, 그 피해는 산업과 시장 전체가 떠안게 된다. 현재 발생하는 정보보안 사고가 기업만의 문제인지, 아니면 보다 합리적 제도 개선이 함께 필요한 것인지에 대한 성찰이 필요하다.
이러한 논의는 앞으로의 정보보안 정책 수립에 중요한 기초 자료가 될 것이다. 기업과 정부는 이제부터라도 정보보안 강화를 위한 실질적인 대책을 마련해야 할 시점에 있다.
![[기후에너지단상] AI·로봇 시대의 기본소득과 에너지](http://www.ekn.kr/mnt/thum/202601/news-p.v1.20260129.6257c6d7484a4f78a6faf8a12013d353_T1.png)
;){kind=link}