Equifax, 기술적인 취약점보다 더 치명적이었던 ‘관리 부재’
Meta(Facebook), API 사고가 드러낸 구조적 한계
개인정보 사고의 공통 원인, 내부통제가 작동하지 않았다
미국 회사들의 대응 변화, 법무·컴플라이언스 중심 구조
최근 불거진 쿠팡의 개인정보 유출 사건은 표면적으로는 외부 침입이나 보안 시스템상 취약점에서 비롯된 사고처럼 보인다. 그러나 사건을 조금 더 깊이 들여다보면, 문제의 핵심은 해킹 기술이나 보안 솔루션 성능이 아니라 기업의 내부통제가 정상적으로 작동했는가로 귀결되어야 한다는 것을 알게 된다. 이번 사태는 ‘기술 차원의 사고’라기보다 ‘내부통제 실패’의 결과라는 평가가 설득력을 얻고 있다. <알파경제>는 쿠팡의 개인정보 유출과 관련, 내부통제의 구조적 문제, 글로벌 빅테크의 다양한 피해사례, 쿠팡 사고를 반면교사 삼아 내부통제의 꼼꼼한 설계 등 총 4편의 기획기사를 준비했다. [편집자주]
① 3370만명 개인정보 털려…기술 문제가 아닌 내부통제의 ‘붕괴’
② 쿠팡과 유사한 사고, 글로벌 빅테크도 피해가지 못했다
③ 쿠팡과 같은 개인정보 유출, 금융회사는 더 무겁게 받아들인다
④ 쿠팡 사고의 교훈, ‘사전 내부통제 설계’가 회사를 살린다
 |
| (사진=연합뉴스) |
[알파경제=차혜영 기자] 쿠팡 개인정보 유출 사태를 ‘특이한 사건’으로 치부하기 어려운 이유는 해외에서도 유사한 사고가 반복되어 왔기 때문이다. 글로벌 빅테크와 대형 일반기업들 역시 개인정보 보호를 겉으로는 강조해왔지만, 실제 사고의 원인을 추적해보면 공통적으로 내부통제의 공백이 드러난다. 사고의 형태는 달랐지만, 실패의 구조는 놀라울 만큼 닮아 있다.
해외 사례에서 반복적으로 확인되는 문제는 기술적인 문제들을 관리·감독해야 할 조직과 통제 체계가 제 역할을 하지 못했다는 점이다. 이는 개인정보 사고가 특정 국가나 기업의 문제가 아니라, 플랫폼 산업 전반이 안고 있는 구조적 리스크임을 보여준다.
◇ Uber, 내부자 접근과 통제 실패의 전형
2016년 발생한 Uber의 대규모 개인정보 유출 사건은 외부 해커의 침입으로 알려졌지만, 이후 조사 과정에서 회사 내부통제의 허점이 더 큰 문제로 지적됐다. 내부 소프트웨어 개발자가 코드 저장소에 노출한 인증정보를 외부 해커가 이용하여 회사의 클라우드 저장공간(AWS)에 접근하면서 발생한 것인데, 개발자 계정에 대한 접근 권한이 과도하게 부여되었고 해당 계정의 사용 내역에 대한 상시 모니터링이 사실상 이뤄지지 않았다는 점이 중요한 문제점으로 드러났다.
문제는 사고 이후의 대응이었다. Uber는 사건을 즉시 공표하기보다 내부적으로 은폐하려 했고, 이는 기업 거버넌스와 내부통제 전반에 대한 신뢰를 크게 훼손했다. 이후 Uber는 최고보안책임자(CSO)를 교체하고, 접근 권한 관리와 내부 감시체계를 전면 개편했다. 단순한 보안 강화가 아니라, 책임 구조와 보고 체계를 다시 설계한 것이다.
 |
| 해롤드 로저스 쿠팡 대표이사. (사진=연합뉴스) |
◇ Equifax, 기술적인 취약점보다 더 치명적이었던 ‘관리 부재’
2017년 발생한 미국 신용평가사 Equifax의 개인정보 유출 사건은 흔히 웹 애플리케이션에 사용되던 소프트웨어의 보안 취약점 방치가 외부 해킹의 원인이 된 사례로 언급된다. 그러나 사후 분석 결과, 더 큰 문제는 당해 취약점이 이미 외부에 알려진 상태에서도 내부에서 이를 인지하고 조치해야 할 위험관리 및 내부통제 프로세스가 제대로 작동하지 않았다는 점이었다.
취약점에 대한 정보가 조직 내에서 적절히 공유되지 않았고, 이를 점검·조치할 책임 주체도 명확하지 않았다. 즉, 기술적 결함이 아니라 통제환경과 정보·소통 체계의 구조적 실패가 사고를 키운 셈이다. 이후 Equifax는 이사회 산하에 데이터 보안 감독 기능을 강화하고, 내부통제 점검을 경영진 평가와 직접 연동하는 방식으로 내부제도를 손질했다.
◇ Meta(Facebook), API 사고가 드러낸 구조적 한계
2018년 불거진 Meta, 당시 Facebook이 겪은 대규모 개인정보 유출 논란 역시 API 설계의 문제로 출발했지만, 핵심은 권한 통제와 사전 점검 체계의 부재였다. 외부 개발자에게 부여된 접근 권한이 실제 필요한 범위보다 확대되어 있었고, 데이터 사용 내역을 실시간으로 감시하는 체계도 미흡했다.
이 사건을 계기로 Meta는 데이터 접근 권한을 대폭 축소하고, 새로운 기능을 도입할 경우 내부통제와 법무 검토를 의무화했다. 기술 개발의 속도보다 사전 통제와 내부 승인 절차를 우선하는 구조로 방향을 전환한 것이다.
 |
| (사진=연합뉴스) |
◇ 개인정보 사고의 공통 원인, 내부통제가 작동하지 않았다
이들 사례의 공통점은 내부 규정과 통제정책이 있었지만, 실제 현장에서 이들이 작동하고 있는지는 제대로 점검하지 않았다는 점이다. 이는 COSO 내부통제 프레임워크에서 말하는 ‘통제활동’과 ‘모니터링’의 실패를 의미한다.
전 금융감독원 감독총괄 국장 출신 이창운 법학박사는 “해외 대형 사고들의 공통점은 내부통제 규정이 없어서가 아니라, 내부통제가 형식에 그쳤다는 점”이라며 “규정과 매뉴얼이 실제 현장에서 작동하는지를 확인하는 구조가 부재했다”고 설명했다.
그는 이어 “사고 이후 많은 기업들이 규정에 여러 항목을 추가해왔지만, 진정한 변화는 권한 구조와 책임 체계를 재설계한 기업에서만 나타났다”고 덧붙였다.
◇ 미국 회사들의 대응 변화, 법무·컴플라이언스 중심 구조
법무법인 로백스 김기동 대표는 최근 미국 기업들의 사고에 대한 대응 방식은 국내와는 다르다고 설명한다. 김 대표는 “미국에서는 개인정보 사고가 발생하면 해당 업무나 IT 부문을 담당하는 부서가 아니라 법무·컴플라이언스 조직이 대응의 중심에 선다”며 “법무법인이 주도하는 포렌식 결과를 바탕으로, 내부통제 실패 지점을 명확히 특정하고 이사회에 직접 보고하는 구조가 일반화되어가고 있다”고 했다.
그는 “이 과정에서 사고의 책임 소재보다 중요한 것은, 같은 사고가 다시 발생하지 않도록 통제 구조를 어떻게 바꿀 것인가”에 있다며 “사후 제재보다 사전 통제 강화로 귀결되는 이유가 여기에 있다”고 말했다.
 |
| (사진=연합뉴스) |
◇ 해외 규제기관의 시선이 바뀌고 있다
해외 규제기관 역시 개인정보 사고를 단순한 보안 사고로 보지 않는다. 유럽과 미국의 감독당국은 사고 발생 자체도 중요하게 여기지만, 사고 이전에 기업이 어떤 내부통제 체계를 갖추고 있었는지를 따지게 된다. 내부통제 설계가 미흡했다면, 사고 규모와 무관하게 제재가 커질 수 있다.
해외 사례들이 주는 교훈은 명확하다. 개인정보 사고는 기술적인 문제에서 비롯될 수 있었겠지만, 회사의 내부통제 문제점 때문에 더 크게 확대될 수 있다는 것이다.
*다음 3회차 예고
다음 회에서는 한발 더 나아가, 해외 금융회사들이 개인정보와 고객 정보를 어떻게 ‘시스템 리스크’로 관리해왔는지를 살펴본다. 왜 금융회사에서는 같은 사고가 더 무겁게 다뤄지는지, 그리고 그 차이가 어디서 비롯되는지를 집중적으로 분석할 예정이다.
알파경제 차혜영 기자(kay33@alphabiz.co.kr)
