[기고] 쿠팡 사태, 로그 기준 없는 과징금 산정 기준은?

신승민 2026. 6. 15. 13:21
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
과징금은 나왔지만, 사실과 추정을 가르는 기준은 아직 보이지 않는다

신승민 큐비트시큐리티 대표

신승민 큐비트시큐리티 대표

쿠팡 개인정보 유출 및 침해 사안에 대규모 제재가 내려졌다. 개인정보보호위원회는 쿠팡에 과징금 6,246억8,100만 원과 과태료 1,680만 원을 부과했고, 개인정보 유출과 관련해서는 인증 서명키 관리와 접근통제 소홀 등으로 약 3,755만 명의 개인정보가 유출됐다고 결론냈다.

숫자만 보면 충격적이다. 그러나 이 사건의 핵심은 과징금 액수가 아니다. 더 중요한 것은 정부가 어떤 피해를 확인했고, 어떤 부분은 추정했으며, 그 판단을 과징금 산정에 어떻게 반영했는가이다.

쿠팡의 책임을 가볍게 보자는 뜻이 아니다. 서명키 관리가 부실했다면 문제다. 위·변조된 전자 출입증을 검증하지 못했다면 문제다. 개인정보가 포함된 페이지가 대량 조회되는 동안 탐지하지 못했다면 문제다. 사고 이후 로그 보존에 실패했다면 더 심각한 문제다. 기업은 책임져야 한다.

다만 책임을 묻는 방식은 정밀해야 한다. 행정제재는 여론의 분노를 대신하는 것이 아니라 확인된 사실, 법적 의무, 피해 규모, 예방 노력, 사후 대응 노력 위에 서야 한다.

이번 사건에서 특히 주목해야 할 부분은 로그가 없어 피해 규모를 정확히 알기 어려운 상황이다.

민관합동조사단은 내정보 수정 페이지에서 성명과 이메일이 포함된 이용자 정보 3367만3817건이 유출됐고, 배송지 목록 페이지가 1억4,805만6,502회 조회됐다고 발표했다. 동시에 공격자 PC에서 외부 서버 전송 기능이 있는 스크립트가 확인됐지만, 실제 해외 클라우드 서버로 전송됐는지는 기록이 없어 확인할 수 없었다고 밝혔다.

여기서 구분이 필요하다. 조회는 유출일 수 있다. 그러나 조회 횟수와 고유 피해자 수는 다르다. 공격 도구가 있었다는 사실과 실제 실행됐다는 사실도 다르다. 외부 전송 기능이 있었다는 정황과 개인정보가 실제 해외 서버로 전송됐다는 사실 역시 다르다.

로그가 부족하면 조사와 산정에는 추정이 들어갈 수밖에 없다. 그렇다면 정부는 어디까지가 확인된 사실이고, 어디부터가 기술적 추정이며, 무엇은 확인하지 못했는지 나누어 설명해야 한다. 기업의 로그 부재가 불리하게 작용할 수는 있다. 그러나 그것만으로 정부의 모든 추정이 자동으로 정당화되는 것은 아니다.

바로 이 지점에서 정부의 설명 책임이 생긴다. 정부는 "로그 관리가 부실했다"고 말할 수 있다. 실제로 조사단도 쿠팡의 접속기록이 일관된 기준 없이 저장·관리되어 피해 이용자 식별과 유출 규모 산정에 어려움이 있었다고 지적했다.

그렇다면 정부는 기업이 어떤 로그를 어떻게 남겨야 하는지도 함께 설명해야 한다.

핵심은 웹의 요청 본문과 응답 본문이다. 쉽게 말하면 사용자가 어떤 정보를 입력했고, 시스템이 어떤 정보를 보여줬는지에 대한 기록이다. 이 기록이 있어야 어떤 개인정보가 누구에게, 어느 범위까지 노출됐는지 판단할 수 있다.

그러나 이런 수준의 기록 기준은 명확히 제시된 적이 없다. 접속기록 보관 의무는 있지만, 웹 요청과 응답을 어디까지 남겨야 하는지는 분명하지 않다. 이번 조사에서 그런 정보가 실제 어느 범위까지 요구됐는지, 없었다면 과징금 산정에 어떻게 반영됐는지도 명확하지 않다.

기업이 알고 싶은 것은 추상적인 '접속기록 보관'이 아니다. 무엇을 남겨야 충분한 소명으로 인정되는지다. 무엇이 없으면 불리하게 평가되는지다. 어떤 보존 조치가 정상참작이 되는지다. 이 기준이 없다면 현장은 명확한 규칙이 아니라 사후 판단을 걱정하게 된다.

정부가 기업 대신 보안을 운영할 수는 없다. 로그를 수집하고, 시스템을 설계하고, 사고 대응 체계를 갖추는 것은 기업의 책임이다. 그러나 정부는 제재권을 가진다. 제재권을 가진 기관은 기준을 제시할 책임도 가진다.

정부 발표가 재발방지 안내서가 되려면 무엇이 사실인지, 무엇이 추정인지, 무엇이 확인 불가인지, 그것이 과징금에 어떻게 반영됐는지 투명하게 밝혀야 한다. 그래야 기업도 무엇을 준비해야 하는지 안다.

정부가 해야 할 말은 어렵지 않다. 웹의 요청 본문과 응답 본문을 어디까지 남겨야 하는가. 그 로그를 어떻게 보존해야 하는가. 사고가 나면 무엇을 즉시 보전해야 하는가. 그 노력이 과징금 산정에서 어떻게 정상참작되는가.

이 설명 없이 과징금 규모만 커진다면 기업은 보안을 강화하기보다 행정 리스크 회피에 집중하게 된다. 신고 문구를 다듬고, 법무 대응을 준비하고, 대관 전략을 세우는 데 몰두할 수 있다. 그러나 정작 사고를 입증하고 피해를 줄일 로그 체계는 그대로일 수 있다.

그것은 재발방지가 아니다. 기업은 두려움이 아니라 명확한 기준을 원한다. 행정제재는 법 위에 서야 한다. 개인정보 과징금은 로그 위에 서야 한다. 로그 기준 없는 과징금은 기준이 될 수 없다.
MTN 머니투데이방송에서 직접 확인하세요. 해당 언론사로 이동합니다.