사전 내부통제의 출발점은 ‘권한 설계’
미국 회사들의 대응, 법무 중심의 사전 포렌식
해외 감독당국의 기준은 ‘사전 통제’로 이동
최근 불거진 쿠팡의 개인정보 유출 사건은 표면적으로는 외부 침입이나 보안 시스템상 취약점에서 비롯된 사고처럼 보인다. 그러나 사건을 조금 더 깊이 들여다보면, 문제의 핵심은 해킹 기술이나 보안 솔루션 성능이 아니라 기업의 내부통제가 정상적으로 작동했는가로 귀결되어야 한다는 것을 알게 된다. 이번 사태는 ‘기술 차원의 사고’라기보다 ‘내부통제 실패’의 결과라는 평가가 설득력을 얻고 있다. <알파경제>는 쿠팡의 개인정보 유출과 관련, 내부통제의 구조적 문제, 글로벌 빅테크의 다양한 피해사례, 쿠팡 사고를 반면교사 삼아 내부통제의 꼼꼼한 설계 등 총 4편의 기획기사를 준비했다. [편집자주]
① 3370만명 개인정보 털려…기술 문제가 아닌 내부통제의 ‘붕괴’
② 쿠팡과 유사한 사고, 글로벌 빅테크도 피해가지 못했다
③ 쿠팡과 같은 개인정보 유출, 금융회사는 더 무겁게 받아들인다
④ 쿠팡 사고의 교훈, ‘사전 내부통제 설계’가 회사를 살린다
 |
| (사진=연합뉴스) |
[알파경제=김영택 기자] 개인정보 유출 사고가 발생하면 기업의 대응은 거의 정형화되어 있다. 사과문이 발표되고, 보안 투자를 확대하겠다는 약속이 뒤따른다. 감독당국은 제재 여부를 검토하고, 정치권에서는 처벌 강화를 요구하는 목소리가 커진다. 그러나 시간이 지나면 비슷한 사고가 반복된다. 대응은 반복되지만, 사고를 만들어내는 구조는 크게 바뀌지 않기 때문이다.
쿠팡 개인정보 유출 사건 역시 이 익숙한 궤적 위에 놓여 있다. 개인정보 사고의 해법은 사후 제재나 일회성 보안 강화에 있지 않다. 사고가 발생하기 전에 이를 차단할 수 있는 내부통제 구조를 어떻게 설계하느냐가 중요하다.
◇ COSO가 말하는 내부통제, 규정 마련이 아닌 ‘작동하는 구조’
국제적으로 널리 활용되는 내부통제 기준은 앞서 언급했던 COSO 프레임워크다. COSO는 내부통제와 관련 ▲통제환경 ▲위험평가 ▲통제활동 ▲정보와 소통 ▲모니터링 등 다섯 가지 요소로 구성해 정리하고 있는데, 이 중 어느 하나만 강조해서는 내부통제가 제대로 작동할 수 없다. 다섯 요소가 유기적으로 연결되어 사전 예방 중심의 구조를 이뤄야 한다는 것이 COSO의 중요한 강조점이다.
개인정보와 같은 고위험 정보에 대해서는 통제환경과 모니터링의 중요성이 더욱 크게 강조된다. 최고경영진과 이사회가 개인정보 보호를 중요한 경영 리스크로 인식하지 않는다면, 현장에서의 통제활동은 형식에 그칠 수밖에 없다. 하지만 그와 관련한 경영진의 내부통제 책임이 명확히 설정되어 있다면, 접근 권한 관리와 로그 점검은 일상적인 보안 절차가 아니라 경영 통제의 일부로 작동하게 된다.
전 금융감독원 감독총괄 국장 출신 이창운 법학박사는 알파경제에 “COSO가 강조하는 것은 내부통제 규정의 마련 여부가 아니라 실질적인 책임의 작동”이라며 “사고 이후에 책임자를 문책하는 방식은 제대로 된 내부통제가 아니라 사후 대응일 뿐”이라고 지적했다. 그는 이어 “이사회와 경영진이 내부통제 실패에 대해 실질적 책임을 지는 구조가 만들어질 때 비로소 통제가 살아 움직이게 된다”고 강조했다.
 |
| (사진=연합뉴스) |
◇ 사전 내부통제의 출발점은 ‘권한 설계’
내부통제 강화의 출발점은 보안 솔루션 점검이 아니라, 권한 구조 점검에서 시작해야 한다. 누가 어떤 정보에 접근할 수 있는지, 그 권한은 왜 필요한지, 언제 어떻게 회수되는지가 사전에 명확히 정의되어야 한다. 접근 권한이 업무 편의에 따라 넓어지는 순간, 통제는 무력화된다.
여기에 더해 접근 행위에 대한 로그는 보관 대상에 그치는 것이 아니라, 분석과 조치의 대상이 돼야 한다. 해외 금융회사들이 공통적으로 구축한 구조는 로그를 기반으로 이상 징후를 자동 탐지하고, 필요 시 즉각 접근을 제한하는 체계다. 이는 사고 이후 책임을 묻기 위한 장치가 아니라, 사고 가능성을 사전에 낮추기 위한 구조다.
◇ 미국 회사들의 대응, 법무 중심의 사전 포렌식
법무법인 로백스 김기동 대표는 ‘사전적 내부통제’ 논의에서 미국 기업들의 대응 방식을 주목할 필요가 있다고 말한다. 김 대표는 “미국 기업들의 최근 대응 방식은 사고가 발생한 뒤 포렌식을 하는 것이 아니라, 사고를 가정한 사전 포렌식 점검이 정기적으로 이뤄진다”며 “법무법인이 중심이 되어 접근 구조, 로그 관리, 책임 체계를 미리 점검한다”고 설명했다.
그는 “이 과정의 목적은 내부통제 구조가 사전에 제대로 설계되어 있고 실제로 작동하는지, 사고의 개연성이 없는지 등을 검증하는 데 있다”라며 “IT 부서나 내부감사만으로는 이런 법적 리스크를 종합적으로 관리할 수 없다”고 덧붙였다. 사전 포렌식이 사전 내부통제의 중요한 도구로 기능하다는 설명이다.
 |
| (사진=연합뉴스) |
◇ 해외 감독당국의 기준은 ‘사전 통제’로 이동
개인정보 유출 사고에 대한 감독당국의 판단 기준도 점차 변하고 있다. 과거에는 사고 발생 여부와 피해 규모가 제재 판단의 중요한 기준이었다면, 최근에는 사고 이전에 기업이 어떤 내부통제 구조를 갖추고 있었는지가 함께 검토되는 경향이 강화되고 있다. 사고 자체에 대해 면책해 주는 것은 아니지만, 내부통제 구조의 설계와 운영 수준이 평가 요소로 작동하기 시작한 것이다.
특히 해외 감독당국은 개인정보 보호를 단순한 보안 문제로 보지 않고, 기업의 거버넌스와 리스크 관리 체계의 일부로 다루는 흐름을 보이고 있다. 접근 권한 관리, 로그 점검, 책임 분리, 사전 점검 절차가 내부 규정으로만 다뤄졌는지, 아니면 실제 운영 과정에서 작동하고 있었는지가 사후 평가 과정에서 함께 검토된다. 내부통제 구조가 형식에 그쳤다면, 사고 규모와 무관하게 관리 책임이 문제 되는 사례도 늘고 있다.
이런 변화는 ‘사고가 없으면 문제가 없다’는 과거의 인식에서 벗어나, 사고 가능성을 어떻게 관리했는가를 묻는 방향으로 감독의 초점이 이동하고 있음을 보여준다. 특히 개인정보를 대규모로 처리하는 기업일수록, 사고 발생 이후의 대응뿐 아니라 사전 통제 체계의 운영 여부가 중요한 판단 요소로 작용하는 흐름이 뚜렷해지고 있다.
아직까지 플랫폼 기업에 금융회사와 동일한 감독 기준이 적용된다고 보기는 어렵다. 그러나 개인정보가 기업 경쟁력의 핵심 자산이 된 상황에서, 감독당국의 요구 수준이 점차 높아지고 있다는 점은 분명하다. 사전 내부통제 구조를 갖추지 않은 기업은 사고 이후 더 큰 설명 책임을 부담하게 되는 환경으로 이동하고 있는 셈이다.
 |
| (사진=연합뉴스) |
◇ “사전 내부통제, 사고를 줄이는 유일한 해법”
이번 쿠팡 개인정보 유출 사건은 단순한 기업 사고가 아니다. 이는 플랫폼 기업들이 앞으로 어떤 수준의 내부통제를 요구받게 될지를 보여주는 분기점에 가깝다. 사과와 보상, 처벌 강화만으로는 신뢰를 회복할 수 없다. 필요한 것은 사전 통제를 중심으로 한 구조적 변화다.
김기동 대표는 “사전 내부통제는 더 이상 선택의 문제가 아니라, 기업 생존의 조건”이라고 말한다. 이창운 박사 역시 “내부통제는 비용이 아니라 보험”이라며 “사고 이후 치르는 비용과 비교하면, 사전 통제에 대한 투자는 가장 합리적인 선택”이라고 강조한다.
개인정보 사고를 완전히 없앨 수는 없다. 그러나 사고가 기업의 존립을 위협할 정도로 커지는 것은 막을 수 있다. 그 해법은 이미 해외 사례와 글로벌 기준 속에 명확히 제시돼 있다. 사후 처벌이 아니라, 사전 내부통제 설계가 무엇보다 중요하다.
알파경제 김영택 기자(sitory0103@alphabiz.co.kr)
