| ▲ (출처:알파경제 유튜브) |
[알파경제=영상제작국] 최근 쿠팡에서 발생한 개인정보 유출 사태는 단순히 한 기업의 문제가 아닌, 플랫폼 산업 전반이 안고 있는 구조적 리스크를 보여줍니다. 해외에서도 유사한 사고가 반복되어 왔으며, 기술적인 문제보다 내부 통제 시스템의 공백이 사고를 키운 공통적인 원인으로 지적되고 있습니다.
Uber, Equifax, Meta(Facebook) 등 글로벌 빅테크 기업들의 사례는 이러한 문제점을 명확히 드러냅니다. 2016년 Uber의 개인정보 유출 사고는 외부 해킹으로 알려졌으나, 실제로는 내부 개발자의 인증 정보 노출과 과도한 접근 권한 부여, 그리고 사용 내역에 대한 상시 모니터링 부재가 더 큰 원인이었습니다. 사고 이후 Uber는 최고보안책임자를 교체하고 접근 권한 관리 및 내부 감시 체계를 전면 개편했습니다.
2017년 Equifax에서는 소프트웨어 취약점 방치보다, 이미 알려진 취약점에 대해 내부에서 인지하고 조치해야 할 위험 관리 및 내부 통제 프로세스가 제대로 작동하지 않았다는 점이 더 치명적이었습니다. 취약점에 대한 정보 공유 부족과 책임 주체 불명확이 사고를 키웠으며, 이후 Equifax는 이사회 산하 데이터 보안 감독 기능을 강화하고 내부 통제 점검을 경영진 평가와 연동했습니다.
2018년 Meta(Facebook)의 개인정보 유출 논란 역시 API 설계 문제에서 출발했지만, 핵심은 권한 통제와 사전 점검 체계의 부재였습니다. 외부 개발자에게 부여된 접근 권한이 과도했고 데이터 사용 내역 감시 체계도 미흡했습니다. Meta는 이후 데이터 접근 권한을 축소하고, 새로운 기능 도입 시 내부 통제와 법무 검토를 의무화하는 방향으로 전환했습니다.
이들 사례의 공통점은 내부 규정과 통제 정책이 형식에 그쳤다는 점입니다. COSO 내부통제 프레임워크에서 강조하는 '통제 활동'과 '모니터링'이 제대로 작동하지 않은 것입니다. 전 금융감독원 감독총괄 국장 출신 이창운 법학박사는 "해외 대형 사고들의 공통점은 내부 통제 규정이 없어서가 아니라, 실제 현장에서 규정이 작동하는지를 확인하는 구조가 부재했다"고 지적했습니다.
미국 기업들의 대응 방식은 국내와 다르다는 분석도 있습니다. 법무법인 로백스 김기동 대표는 "미국에서는 개인정보 사고 발생 시 법무·컴플라이언스 조직이 대응의 중심에 서며, 이사회에 직접 보고하는 구조가 일반화되고 있다"고 설명했습니다. 이는 사후 제재보다 사전 통제 강화로 귀결되는 이유입니다.
해외 규제기관 역시 개인정보 사고를 단순한 보안 사고로 보지 않고, 사고 이전 기업의 내부 통제 체계를 면밀히 따지고 있습니다. 개인정보 사고는 기술적 문제에서 비롯될 수 있지만, 내부 통제 문제점으로 인해 더 크게 확대될 수 있다는 것이 해외 사례들이 주는 명확한 교훈입니다.
알파경제 영상제작국 (press@alphabiz.co.kr)
