업비트∙넷마블 이어 쿠팡 참사…'내부 사고'에 국민이 떤다 [팩플]
![30일 정부서울청사에서 쿠팡 관련 긴급 관계부처 장관회의가 열린 가운데 박대준 쿠팡대표가 회의장을 나서며 공개 사과하고 있다. [연합뉴스]](https://www.koreadaily.com/data/photo/2025/11/30/9166ef4a-8c92-43e2-a2da-bfd58c801ba9.jpg)
30일 보안업계에 따르면 최근 넷마블은 PC 게임포털 사이트 해킹으로 고객, 임직원 등 611만명의 개인 정보가 유출됐다. 가상자산거래소 업비트도 사이버 공격으로 455억원(회원 386억원)의 피해가 발생했다. 쿠팡은 지난 20일 “고객 개인정보가 비인가 조회됐고, 쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것을 확인됐다”고 밝힌데 이어 지난 29일 “3370만 명의 개인정보가 일부 노출된 점을 확인해 정부 당국에 신고 했다”고 밝혔다. 현재 내부 직원 소행에 무게를 두고 조사가 진행 중이다.
이 같은 사고를두고 전문가들은 기업들의 인증·접근 권한 관리에 문제가 있었다고 지적한다. 황석진 동국대 정보보호대학원 교수는 “넷마블, 업비트, 쿠팡 모두 내부 인증과 접근 권한 관리에 소홀했던 것으로 보인다”고 말했다. 이어 “(현재까지 공개 된 내용 상으로) 쿠팡의 경우 외부 해커 공격이 아니라 내부 통제가 실패해 정보가 유출됐다. 이건 막을 수 있는 사고였다는 점에서 더 큰 문제다. 5개월이나 쿠팡이 유출을 인지하지 못했다는 점도 치명적”이라고 지적했다.
━
ISMS-P 인증 “개선 필요”
하지만 인증을 받은 이후에도 개인정보 유출 사고가 이어졌다. 국회 정무위원회 소속 사회민주당 한창민 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 인증 받은 이후에도 총 4건의 사고를 냈다.
보안 전문가들은 제도 보완이 필요하다는 지적이다. 염흥렬 순천향대 정보보호학과 명예교수는 “ISMS-P 등과 같은 인증이 없다면 해킹이 더 자주 발생할 것”이라며 “다만 현재는 인증 획득 후 기업이 갱신 유효 기간 3년이 되기 전까진 매년 자율적으로 사후 점검을 하는데, 제대로 하고 있는지 정부가 확인할 방법이 없다”고 지적했다. 이어 “이를 정부가 직접 규제하거나 점검 기준을 강화하는 보완책을 고민할 필요가 있다”고 덧붙였다.
쿠팡 출신의 IT기업 보안 담당 임원은 “국내 IT기업들이 쿠팡에 보안 교육을 요청할 정도로 쿠팡은 국내에서 정보보안 선진 기업인데도 사고가 발생했다”며 “ISMS-P는 일종의 정보보안 건강검진으로 쓸모없다고 할 순 없다. 다만 개선은 필요하다”고 말했다. 그는 “정부가 매년 직접 점검하기엔 예산과 인력 문제가 있다. 자체 점검 대신 제3자 보안업체가 사후 점검을 하는 등 제도 개선을 고민할 시점”이라고 말했다.
여성국.오현우([email protected])