쿠팡 개인정보 유출, 기업만의 책임인가 [김상철의 경제 톺아보기]
(시사저널=김상철 경제 칼럼니스트(전 MBC 논설위원))
쿠팡에서 이름과 주소, 전화번호 등 3370만 건에 달하는 개인정보가 유출되는 사태가 벌어졌다. 게다가 사건 발생 시점은 지난 6월인데, 쿠팡이 이를 인지한 시점은 11월로 무려 5개월이라는 공백까지 있었다. 회사를 떠난 직원이 가짜 계정을 만들 수 있고, 퇴직 후에도 수개월간 시스템에 접근할 수 있었다는 것은 어느 기업에서도 쉽게 벌어지기 힘든 일이다.
개인정보 관리는 플랫폼 기업의 가장 기본적인 책무다. 때문에 쿠팡에 대한 비판은 당연하다. 허술한 내부 통제 시스템으로 대규모 유출 사고가 발생했는데, 대응하는 모습까지 실망스럽다. 그러나 문제 이면에는 데이터 관리 부실을 방조한 정부의 정책 실패와 느슨한 규제가 자리 잡고 있다. 플랫폼 기업의 데이터 관리 부실이 보안 투자 부족 때문이라고 하지만, 투자 유인을 만들 제도를 설계하는 것은 정부의 몫이다.
민간 자율에 기댄 보안 정책의 허상
기본적으로 데이터 보안은 전형적인 외부효과(Externality) 문제다. 기업은 보안 투자 비용을 모두 부담하면서도, 그로 인한 사회적 이익은 충분히 내부화하지 못한다. 이 때문에 기업은 보안에 대한 과소 투자 경향을 보이며, 이는 곧 시장 실패로 이어진다. 한편으로 소비자는 자신이 제공한 데이터가 기업 내에서 어떻게 관리되는지 알기 어렵다.
이 지점에서 정부 역할이 중요해진다. 정부는 시장 실패를 보완하고 정보 비대칭을 해소해야 하며, 기업이 사회적으로 적절한 수준까지 보안 투자를 늘리도록 유도해야 한다. 가장 효과적인 방법은 제재다. 제재 실효성을 극대화하는 정책은 플랫폼 기업이 보안 투자를 선택이 아닌 필수 비용으로 인식하게 만드는 가장 강력한 유인이다.
세계 각국은 이미 플랫폼 기업의 데이터 유출 사고에 대응하기 위해 책임을 강화하고 있다. 미국은 민사적 집단소송을 허용해 기업이 재정적 위험에 노출되도록 만드는 방식을 택했다. 유럽은 개인정보 보호를 기본권으로 간주해 기업의 사전 예방 의무를 법적으로 강제한다. 2018년부터 시행되고 있는 유럽연합(EU) '일반 데이터 보호 규정'(GDPR)에서는 민감한 정보든 일반 정보든 무조건 합법적인 처리 근거와 투명한 동의, 그리고 사용자 권리 보장이 필수다. 데이터 주체의 권리 강화, 개인정보 역외 이전 통제, 그리고 '사전 통지 의무(Data Breach Notification)' 및 설계 단계부터 시작되는 '프라이버시(Privacy by Design)' 원칙으로 구성되어 있다.
GDPR을 위반하면 전 세계 연 매출의 최대 4% 또는 2000만 유로 중 더 큰 금액을 벌금으로 부과한다. 12억 유로의 벌금을 부과받은 메타(옛 페이스북)나 7억 유로가 넘는 벌금이 매겨진 아마존은 대규모 유출이 아닌, 오직 데이터 처리의 적법성·공정성·투명성 원칙 위배만으로 막대한 벌금을 부과받았다.
물론 플랫폼 기업이 구조적으로 데이터 유출에 취약한 것도 사실이다. 이른바 '네트워크 효과(Network Effects)' 덕분에 데이터는 플랫폼 경쟁력의 핵심으로 자리 잡았다. 이를 바탕으로 맞춤형 서비스와 부가가치를 창출하는 것이 플랫폼 비즈니스의 근간이다. 하지만 한곳에 방대한 데이터를 집중시켜 저장하고, 관리하는 방식은 필연적으로 데이터 유출 사고 위험을 수반한다.
게다가 시스템은 지나치게 복잡하다. 보안은 복잡성의 함수라고 말한다. 공격의 유인은 넘치고, 공격 표면(Attack Surface)도 넓다. 내부에서 데이터를 공유하고 활용하는 과정에서 접근 제어(Access Control) 및 암호화(Encryption) 관리가 조금만 느슨해져도 즉각 취약점이 노출된다. 데이터가 존재하는 한, 정보 보호를 위한 보안 인력과 투자를 아무리 늘려도 100% 유출 방지는 불가능하다. 아무리 제도적으로 보완하고 시스템을 갖춰도, 인간적 실수(Human factor)는 발생할 수 있기 때문이다.
규제 핵심은 '최소한의 데이터'
그렇다고 무력하게 받아들일 일은 아니다. 위험을 통제할 수 있는 수준까지 낮출 수는 있다. 방법은 명확하다. 데이터 자체를 최소화하거나, 접근을 철저히 제한하는 방법밖에 없다. 이 과정에서 정부는 데이터 유출 방지를 위해 플랫폼 기업이 준수해야 할 데이터 보호와 관리의 법적 기준을 제시하고 이행을 감독해야 한다.
EU에서 시행하는 '일반 데이터 보호 규정'의 핵심도 데이터 최소화(Data Minimization)다. 정말 필요한 정보만 저장하도록 강제하는 방식이다. 예를 들어 주소 대신 우편번호, 생년월일 대신 나이만 저장하는 식이다. 사회보장번호(SSN) 같은 민감 정보는 아예 저장 자체를 금지한다. 수집 목적에 비춰 과도하거나, 장기간 보관되는 데이터는 모두 규정 위반이다. 강력하면서도 현실적인 방식이다.
접근 제한은 미국 정부가 채택한 '신뢰 제로 보안 구조(Zero Trust Architecture)'가 대표적이다. 누구든 기본적으로 신뢰하지 않고, 모든 접근 요청에 인증과 검증 절차를 거치게 한다. 내부 직원에게도 필요한 만큼만, 제한적으로 데이터를 접할 수 있도록 최소 정보 접근(Least Privilege) 원칙을 적용해야 한다. 이미 유럽이나 미국의 모든 보안 규정에서 요구하는 기본적인 기술적 통제(Technical Control) 항목이다. 비교적 데이터 유출 사고가 적은 애플도 직원의 데이터 접근 자체를 최소화하는 방식으로 사고를 예방하고 있다.
데이터 보안의 일차적인 책임은 데이터를 직접 관리하고 통제하는 플랫폼 기업에 있다. 대규모로 데이터를 수집하고, 활용하는 기업이라면 보안을 최우선 원칙으로 삼아야 한다. 하지만 그것만으로는 부족하다. 기업의 자발적인 노력에 맡겨놓을 일도 아니다. 정부의 적극적이고 체계적인 제도 설계와 규제 집행이 반드시 병행돼야 한다.
쿠팡의 정보 유출 사태는 기업만의 실책이 아니다. 정부의 규제 실패에 근본적인 원인이 있다고 보는 것이 맞다. 규제가 혁신을 저해하지 않으면서도 국민의 기본권을 보호할 수 있도록 '신뢰 기반의 디지털 생태계'를 조성해야 할 책임은 정부에 있다. 유출 사고는 언제든 반복될 수 있다.
형식에 그친 인증 제도부터 다시 들여다봐야 한다. 정부는 보안 수준을 높이겠다며 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 의무화했지만, 현재 이 제도는 기업에 법적 면죄부를 주는 수단으로 바뀌었다. 2020년 이후 ISMS-P 인증을 받은 27개 기업에서 총 34건의 유출 사고가 발생했지만, 인증이 취소된 사례는 단 한 건도 없었다. 이대로라면 인증 제도는 도덕적 해이를 부추기는 제도로 전락할 가능성이 크다.
Copyright © 시사저널. 무단전재 및 재배포 금지.