SKT·KT 이어 쿠팡 정보유출
사고 때마다 나온 보호대책 무색
더 든든한 디지털 방파제 구축을
사고 때마다 나온 보호대책 무색
더 든든한 디지털 방파제 구축을
쿠팡은 개인정보 유출이 대대적으로 보도된 후에야 고객에게 안내 문자를 보냈다. 내게는 29일 토요일 오후 6시43분에 왔다. 제목은 ‘개인정보 노출 통지’. 사과문도 아니고 ‘노출 통지’라니…. 화가 난다. 책임을 최대한 줄이려는 표현이다. 노출과 유출, 그 어감은 얼마나 다른가. 노출은 정보가 보이게 되거나 접근 가능해진 상태 자체를 말한다. 그로 인한 책임은 유출보다 불명확하다. 유출은 정보가 외부로 빠져나가고 전달되는 행위로 책임·과실·보안사고와 연결된다. 쿠팡에 따르면 ‘노출된 정보’ 는 ‘고객님의 이름, 이메일 주소, 배송지 주소록, 주문 정보’로 ‘고객님의 카드 정보 등 결제정보 및 패스워드 등 로그인 관련 정보는 노출이 없었음을 확인’ 했다고 한다. 그 확인을 믿기 어렵다. 불안하다. 새벽마다 아파트 층층이 문 앞에 쌓이는 쿠팡의 프레시 박스를 보면서 온라인 거래의 위력을 실감하는데 3300만 명이 넘는 방대한 고객 정보가 털렸다는 소식은 불편함이 아니라 실제적 두려움으로 다가온다. 금융당국은 소비자경보 주의를 발령했고 대통령은 철저한 조사와 엄중한 책임을 말했다.
그런데도 국내 정보보호 및 개인정보보호관리체계(ISMS-P) 인증을 받았다고 한다. ISMS-P 인증은 조직이 마련한 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 적합하다는 것을 증명하는 제도다. 상급종합병원, 재학생 1만 명 이상인 학교, 정보통신서비스부문 매출액 연 100억원 이상인 기업, 정보통신 이용자 수가 100만 명 이상인 통신서비스업자는 의무적으로 인증을 받아야 한다. 정보보호 관리체계 수립 및 운영, 보호대책 등 101개 사항을 점검하게 돼 있다. 과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원, 금융보안원 등이 함께 엄격하게 운용·관리한다는 게 정부 설명이다(2025 국가정보보호백서). 이렇게 엄격하게 한다는 ISMS-P를 통과한 쿠팡에서 이런 일이 일어난 건, 알려진 것과는 달리 인증 자체가 엉성하거나 쿠팡이 인증 관련 현황을 제대로 제공하지 않았기 때문일 거다. 개인정보보호가 해킹 등 외부 공격에 대비하는 측면이 강해 이번처럼 내부 직원에 의한 유출은 막기가 쉽지 않다는 얘기도 나오는데, 어불성설이다. 개인정보의 엄격한 내부 통제는 기본이다.
사회 전체적으로는 더 높은 수준의 디지털 방파제를 구축해야 한다. 올해 연이어 일어난 개인 정보 유출에서 보듯이 데이터 탈취 방식은 다양해지고 정교해진다. 생성형 인공지능(AI)을 활용한 맞춤형 공격도 늘고 있다. 이번에 허술함이 드러난 정보보호 인증 기준도 강화해야 한다. 서비스 이용자가 1000만 명을 넘는 거대 기업은 별도의 기준을 마련하는 것도 필요해 보인다.
우리는 점점 더 정교해지는 디지털 파놉티콘에 갇혀가는 듯하다. 나의 SNS·로그인·검색·구매 이력이 거대 디지털 기업에 의해 끊임없이 수집·분석된다. 때론 거기서 벗어나고 싶지만, 그러기엔 너무 늦었고 불가능에 가깝다. 클릭 한 번, 결제 한 번으로 물건을 사고 호텔을 예약한다. 얼마나 편리한가. 하지만 편리하면 편리할수록 그 뒤는 더 위험하고 복잡하다. 편리함 뒤의 리스크를 늘 의식하고 대비할 수밖에 없다.
염태정([email protected])