먼저 정보보호의 무게 중심을 ‘투자 규모’에서 ‘운영 체계’로 전환해야 한다. 쿠팡은 업계 최고 수준의 보안예산을 지속적으로 투입해 왔지만, 퇴직자 계정·서명키 관리 등의 기본 통제에서 허점이 드러났다는 의심을 받고 있다. 이는 예산의 많고 적음이 아니라 보안 시스템이 실제로 어떻게 운영되고 있었는가가 핵심이라는 점을 보여준다.
향후 이커머스 기업들은 계정·키·접근권한 통제를 자동화하고, 직원·협력사·외부 개발자 등 다양한 주체의 접근 이력을 실시간 감시하는 체계를 갖추는 것이 필수다.
아울러 데이터의 ‘집중’ 구조에 대한 재검토가 필요하다. 이름, 주소, 결제 관련 정보, 과거 주문 내역까지 한 시스템에 집적된 구조는 유출 시 피해 규모가 기하급수적으로 커질 수밖에 없다. 민감도에 따라 데이터 저장 위치를 분리하는 ‘데이터 세그멘테이션’을 강화하고, 해외 협력 플랫폼과 합작법인 증가에 발맞춰 국외 이전 및 API 연동 구간을 더 정교하게 관리해야 한다.
특히 글로벌 플랫폼과 데이터가 연결되는 경우, 국내 규제만으로는 대응이 어렵기 때문에 기술적 장치를 통한 보호가 기업 생존의 조건이 되고 있다.
다음으로 감지 체계의 실효성을 높이는 방향으로 규제와 자율보안이 동반 업그레이드 돼야 한다. 유출 후 5개월간 감지되지 않았다는 점은 쿠팡뿐 아니라 다른 기업에서도 동일 유형의 사고가 잠복할 수 있는 가능성을 보여준다. 유출 가능성이 있는 비정상적 패턴을 자동 경보하는 ‘행위 기반 탐지(Behavior Detection)’ 등 선제적 기술 적용이 필요하며, 이는 이커머스처럼 초대형 트래픽을 가진 플랫폼에서는 더 이상 선택이 아니라 필수다.
정부도 사건 발생 후 처벌 중심 정책에서, 사전 예방 중심으로 역량을 전환해야 한다. 개인정보보호법은 강화됐지만, 실제 기업들이 어떤 기술적·관리적 체계를 갖춰야 허점을 줄일 수 있는지에 대한 구체적 기준은 여전히 추상적이다. 사고가 터진 뒤 ‘과징금 규모’만 언급하는 방식은 재발 방지에는 큰 도움이 되지 않는다. 업종별 데이터 구조·업무 프로세스를 고려한 ‘맞춤형 가이드라인’이 필요하다.
끝으로 쿠팡은 이번 사태를 산업의 신뢰 회복 계기로 삼아야 한다. 투명한 조사 협조, 유출 정보의 명확한 고지, 피해 구제 방안 마련은 기본이다. 여기에 더해, 보안 조직의 독립성 강화, CISO(정보보호최고책임자) 권한 확대, 외부 전문가로 구성된 ‘보안 자문위원회’ 상시 운영 등을 통해 ‘사고 이후의 변화’를 보여줄 필요가 있다. 이는 법적 책임과 별개로, 고객 신뢰라는 기업의 핵심 자산을 지키기 위한 최우선 과제다.
쿠팡 사태는 한 기업의 문제가 아니라 국내 이커머스 산업 전체가 공유해야 할 숙제다. 이번 사건을 계기로 한국 온라인 유통 시장이 보다 성숙한 보안 체계로 나아갈 수 있을지, 이것이 앞으로 산업 경쟁력의 결정적 분기점이 될 것이다.
댓글 더보기