COSO 프레임워크로 본 구조적 실패
미국의 법무법인을 통한 리스크 관리
플랫폼 기업의 착각, 그리고 달라진 기준
반복되는 사고, 구조는 바뀌었는가
최근 불거진 쿠팡의 개인정보 유출 사건은 표면적으로는 외부 침입이나 보안 시스템상 취약점에서 비롯된 사고처럼 보인다. 그러나 사건을 조금 더 깊이 들여다보면, 문제의 핵심은 해킹 기술이나 보안 솔루션 성능이 아니라 기업의 내부통제가 정상적으로 작동했는가로 귀결되어야 한다는 것을 알게 된다. 이번 사태는 ‘기술 차원의 사고’라기보다 ‘내부통제 실패’의 결과라는 평가가 설득력을 얻고 있다. <알파경제>는 쿠팡의 개인정보 유출과 관련, 내부통제의 구조적 문제, 글로벌 빅테크의 다양한 피해사례, 쿠팡 사고를 반면교사 삼아 내부통제의 꼼꼼한 설계 등 총 4편의 기획기사를 준비했다. [편집자주]
① 3370만명 개인정보 털려…기술 문제가 아닌 내부통제의 ‘붕괴’
② 쿠팡과 유사한 사고, 글로벌 빅테크도 피해가지 못했다
③ 쿠팡과 같은 개인정보 유출, 금융회사는 더 무겁게 받아들인다
④ 쿠팡 사고의 교훈, ‘사전 내부통제 설계’가 회사를 살린다
 |
| (사진=연합뉴스) |
[알파경제=김영택 기자] 개인정보 유출 사고가 발생할 때마다 기업들은 보안 강화를 약속한다. 하지만 사고는 반복됐다. 이는 기술적 방어선만으로는 위험을 통제할 수 없다는 점을 보여준다.
내부에서 누가, 어떤 권한으로, 어느 범위까지 정보에 접근할 수 있었는지, 그리고 그 과정이 실시간으로 감시되고 있었는지에 대한 관리·통제는 기술적인 문제가 아니라 조직 관리 체계와 내부통제 시스템의 문제이기 때문이다.
◇ 접근 권한과 로그, 기본적인 내부통제가 작동했는가
이번 쿠팡 사태에서 가장 먼저 제기되는 의문은 접근 권한 관리다.
개인정보에 접근할 수 있는 계정이 업무상 꼭 필요한 최소 범위로 제한되어 있었는지, 권한 부여와 회수 과정이 체계적으로 관리됐는지, 장기 미사용 계정이나 과도한 권한 보유 계정에 대한 점검이 이뤄졌는지 등이 쟁점이다.
여기에 더해 접근 기록, 즉 로그 관리가 상시적으로 이뤄졌는지도 중요한 판단 기준이다.
정상적인 내부통제 체계에서는 개인정보 접근 행위가 실시간 또는 준실시간으로 기록되고, 이상 징후가 포착될 경우 자동 경보나 접근 차단이 작동해야 한다. 로그를 ‘저장’만 하는 수준이 아니라, 로그를 ‘보고’ ‘해석’하고 ‘조치’하는 구조가 마련되어 있어야 한다.
전 금융감독원 감독총괄 국장 출신 이창운 법학박사는 “접근 권한 통제와 로그 모니터링은 내부통제의 가장 기초적인 요소”라며 “이 단계에서 문제가 발생했다면 이는 단순 운영상의 실수가 아니라 내부통제 설계 자체가 미흡했다는 의미”라고 지적했다.
그는 “사고 이후 책임자를 적발해내는 방식으로는 같은 문제가 반복될 수밖에 없다”고 덧붙였다.
 |
| 김범석 쿠팡 의장. (사진=연합뉴스) |
◇ COSO 프레임워크로 본 구조적 실패
국제적으로 가장 널리 활용되는 내부통제 기준은 COSO(Committee of Sponsoring Organizations, 미국 기업의 내부통제·리스크 관리 기준을 제시하는 민관 합동기구) 프레임워크다.
COSO는 내부통제를 다섯 가지 요소, 즉 통제환경, 위험평가, 통제활동, 정보와 소통, 모니터링으로 구분한다. 이 기준에 비춰볼 때 이번 사안은 특히 통제활동과 모니터링 영역에서의 실패가 두드러진다.
통제활동은 회사의 내부통제 정책과 절차가 실제로 작동하는 단계다. 접근 권한 최소화, 업무 분리, 승인 절차, 자동 차단 장치 등이 여기에 포함된다.
모니터링은 이런 통제활동이 제대로 작동하는지를 지속적으로 점검하는 기능이다. 두 요소 중 하나라도 작동되지 않으면 내부통제는 형식만 남고 실질성을 잃게 된다.
이창운 박사는 “내부통제는 내부 규정을 만드는 것으로 끝나지 않는다”며 “내부통제 규정이 현장에서 실제로 작동하는지를 끊임없이 점검하고 수정하는 것이 중요한데, 많은 기업이 이 단계를 소홀히 한다”고 설명했다.
◇ 미국의 법무법인을 통한 리스크 관리
특히 미국 기업들의 대응 방식은 국내와 뚜렷한 대비를 이룬다.
김기동 법무법인 로백스 대표는 “미국에서 개인정보 유출이나 내부자 접근 문제가 발생하면 기업이 가장 먼저 호출하는 것은 보안업체가 아니라 법무법인”이라고 말한다.
김 대표는 “법무법인이 중심이 되어 디지털 포렌식을 진행하고, 누가 어떤 권한으로 언제 접근했는지를 법률적 관점에서 정밀하게 분석한다”며 “이는 수사를 회피하기 위한 것이 아니라, 증거 보존과 절차적 적법성을 확보하기 위한 표준적인 대응”이라고 설명했다.
그는 “미국에서는 사고 발생 시 기업에 증거 보존 의무가 즉시 발생하며, 이를 왜곡하거나 체계적으로 관리하지 않으면 사법 방해로 문제가 될 수 있다”며 “법무법인 주도의 포렌식은 사고 원인 분석뿐 아니라 향후 경찰 수사, 감독당국 조사, 집단소송 등에서 명확히 설명하기 위한 준비 과정”이라고 덧붙였다.
이런 방식은 사고 이후 책임 회피를 위한 것이 아니라, 내부통제 실패 지점을 정확히 특정하고 재설계를 위한 근거를 확보하기 위한 과정에 가깝다.
국내에서는, 사고 이후 회사 내에서 처벌 대상과 원인을 특정하기 위한 용도로서뿐만 아니라, 내부통제를 사전적으로 강화하기 위한 구조적 출발점으로써 포렌식을 사고 예방 용도로 활용할 필요가 있다.
 |
| (사진=연합뉴스) |
◇ 플랫폼 기업의 착각, 그리고 달라진 기준
국내 플랫폼 기업들은 개인정보 보호에 있어 자신들을 금융회사나 공공기관과는 완전히 다른 범주로 인식해왔다.
그러나 수천만 명의 개인정보를 축적·활용하는 구조적 환경에서 플랫폼 기업의 개인정보 수집은 이제 금융회사와 동일하게 ‘고위험 자산’으로 분류될 필요가 있다.
내부통제 실패는 단순한 평판 훼손을 넘어, 기업의 존속 자체를 위협하는 리스크로 확장되고 있기 때문이다.
이창운 박사는 “플랫폼 기업이 기술 기업이라는 이유로 내부통제의 강도를 낮게 설정하는 시대는 끝났다”며 “이제는 금융회사에 준하는 정보 통제와 책임 구조를 요구받고 있다”고 말했다. 그는 “사고 이후의 사과와 보상보다 중요한 것은, 사고가 발생하지 않도록 설계하는 구조”라고 강조했다.
 |
| (사진=연합뉴스) |
◇ 반복되는 사고, 구조는 바뀌었는가
이번 쿠팡 사태는 특정 기업의 문제일 뿐 아니라, 플랫폼 산업 전반에 내재된 내부통제 취약성을 그대로 드러낸 사례다.
사고는 반복됐지만, 그동안 개별 기업의 내부통제 구조나 체계는 크게 달라지지 않았다는 점에서 문제는 더욱 심각하다.
기술에 대한 투자만으로는 해결할 수 없는 영역, 즉 조직과 책임, 내부통제의 문제가 지속해 방치되어 왔던 것이다.
*다음 2회차 예고
다음 회에서는 <해외 일반기업과 글로벌 플랫폼 기업들이 유사한 개인정보 유출 사고를 어떻게 겪었고, 그 이후 어떤 방식으로 내부통제 구조를 재설계 했는지> 등을 살펴본다.
알파경제 김영택 기자(sitory0103@alphabiz.co.kr)
