쿠팡 개인정보 유출사태 이후 국정조사가 거론되는 가운데서도 정작 개인정보 보호체계 개편이나 보안기준 강화 같은 구체적인 제도 설계는 빠져 있다는 지적이 나온다. 이에 실질적 재발방지보다는 정치적 공방에 그칠 수 있다는 우려가 제기된다.

국회는 지난해 12월17일 과학기술정보방송통신위원회 청문회에 이어 12월30일부터 이틀간 6개 상임위 연석 청문회를 열었다. 하지만 쿠팡 창업주인 김범석 의장은 세 차례 모두 불출석했다. 김 의장과 함께 증인으로 채택된 강한승 전 대표, 김유석 부사장도 모습을 드러내지 않으면서 핵심 경영진 3명이 청문회 증언대에 한 번도 서지 않은 셈이 됐다.

강경 카드만 난무, 설계 논의는 비었다

이후 정부와 국회는 징벌적 성격의 영업정지, 과징금 상향, 국정조사, 집단소송제 검토 등 강경대응 카드를 쏟아냈다. 하지만 쿠팡 사태를 계기로 개인정보 보호체계를 어떻게 손볼지, 플랫폼 기업의 보안 기준을 어디까지 높일지에 대한 구체적인 방안은 여전히 보이지 않는다.

범정부 태스크포스(TF)의 상황도 비슷하다. 배경훈 부총리 겸 과학기술정보통신부 장관은 지난해 12월 말 범정부TF 회의에서 “법적으로 가능한 모든 방안을 강구하겠다”고 했고 연이어 열린 청문회에서도 “단 하나의 의혹도 남기지 않고 철저히 대응하겠다”고 강조했다. 그러나 이 과정에서 대형 플랫폼에 공통으로 적용할 보안 기준, 인증·접근권한 관리 원칙, 침해사고 대응 강화 방안 등 구체적인 제도는 공개되지 않았다.

지난해 SK텔레콤(SKT) 개인정보 유출사태 때도 정부와 국회는 비슷한 행태를 보였다. 대규모 개인정보 유출 이후 개인정보위원회는 SKT에 1300억원의 과징금을 부과했다. SKT는 신규 영업 일시중단에 더해 자체적으로 마련한 5000억원 규모의 고객보상안까지 내놓았다. 다만 통신사 전반으로 확대되는 공통 보안 기준이나 정기점검 체계, 플랫폼 기업에 대한 의무적 보안인증 규정까지는 이어지지 못했다. SKT 사태 이후에도 통신·플랫폼 업계 전체의 보안 구조를 다시 설계하는 논의는 잠깐 떠올랐다가 곧 사라졌다는 평가가 나온다.

이는 쿠팡 사태에서도 재연되고 있다. 과징금 상향, 영업정지 검토, 국정조사 추진 등 개별기업을 겨냥한 처벌과 정치적 압박은 거세졌지만 대형 플랫폼 전반에 적용할 보안 기준과 상시감독 체계를 어떻게 수립할지에 대한 논의는 여전히 뒷전이다.

플랫폼 보안 거버넌스는 여전히 숙제

쿠팡 사태를 계기로 정부 차원의 보안 거버넌스를 손봐야 한다는 지적도 거세다. 정보보호인증제도·개인정보보호관리체계(ISMS, ISMS-P)도 도마 위에 올랐다. 쿠팡·통신사·카드사처럼 인증받은 기업들에서 대형사고가 잇따르자 정부는 인증 사후관리와 심사 기준을 대폭 강화하고 공공·통신·대형 플랫폼에는 의무 인증과 사고 시 특별심사를 실시하겠다고 밝혔다.

하지만 인증·심사만으로는 내부자 위협, 초거대 플랫폼의 복합구조 같은 새로운 위험을 통제하기 어렵기 때문에 데이터 거버넌스, 접근권한 관리, 퇴사자 통제 등 핵심 요소를 하나의 규제 프레임으로 묶는 상위설계가 필요하다는 목소리가 나온다.

한 보안 전문가는 “쿠팡처럼 연간 수백억원을 보안에 쓰는 기업에서도 기본적인 접근권한 관리, 퇴사자 계정 회수, 이상징후 탐지 같은 기본이 무너졌다”며 “이제는 개별기업의 선의에만 맡길 것이 아니라 개발 단계부터 보안을 반영하도록 강제하는 보안설계 원칙과 공통 거버넌스를 정부가 제시해야 한다”고 말했다.

염흥렬 순천향대 교수는 "쿠팡 자체의 보안원칙이 있었겠지만 실행 과정에서 빈틈이 발생했을 것"이라며 " 정부가 보안인증 체계를 보다 강화하고, 특히 플랫폼·통신사처럼 국민 생활에 큰 영향을 미치는 기업에 대해서는 감독을 강화하는 방안을 추진해야 할 것"이라고 조언했다.

이진솔 기자