Skip to content

서경대학교

서경 TODAY

SKU Today

서경대학교의 새로운 소식과 이벤트를 매일 만나보실 수 있습니다.

채성준 서경대 군사학과 교수 칼럼: [채성준 칼럼] 쿠팡 3,270만 건 유출, 한국 사이버 안보 경고

  • 작성자홍보실
  • 등록일2025-12-08
  • 조회수89
↑↑ 채성준 서경대학교 군사학과장, 안보전략연구소장, 전 국가안보전략연구원 연구위원
↑↑ 채성준 서경대학교 군사학과장, 안보전략연구소장, 전 국가안보전략연구원 연구위원

쿠팡에서 발생한 3,270만 건 규모의 개인정보 유출은 여러 면에서 충격적이다. 한국에서 온라인 쇼핑과 배달, 간편결제 등 디지털 소비 활동에 참여하는 인구는 약 3,500만~4,000만 명에 달한다. 이번 유출 규모는 미성년자와 고령층을 제외하면 주요 소비 인구 대부분을 포괄한다.

이는 특정 집단이 아닌 대한민국 디지털 소비 생활 전체와 관련된 문제임을 의미한다.

이번 사건이 유독 주목되는 이유는 유출 데이터의 성격이다. 회사 측 보고에 따르면 이름, 이메일, 전화번호, 배송지 주소와 일부 주문 내역이 포함돼 있다. 단순 식별 정보에 그치지 않고 구매 내역 등 행동 데이터와 결합될 경우, 소비 성향, 소득 수준, 건강 상태, 가족 구성, 이동 동선 등 개인의 민감한 특성을 역추적할 수 있다. 이러한 데이터는 마케팅 수준을 넘어 사회적·전략적 분석에도 악용될 수 있어 위험성이 크다.

일각에서는 공동현관 비밀번호 유출 가능성까지 제기됐다. 사실 여부는 아직 확인되지 않았지만, 디지털 보안과 물리적 보안이 결합한 현대 사회에서 의혹 제기만으로도 우려되는 대목이다. 실제로 주거 접근권 정보까지 실제 유출됐다면, 단순한 개인정보 노출을 넘어 생활 안전 기반의 침해로 이어질 수 있다.

기술적·운영적 특성 또한 일반적인 해킹과 차별화된다. 통신 3사 등에서 발생한 개인정보 유출 사건은 주로 외부 해킹, 즉 공격자가 방화벽과 보안 시스템을 우회한 무차별적 침입 형태였다. 반면 쿠팡 사건은 내부 고위 권한 계정, 즉 인증·암호화 키를 이용해 장기간 내부망에 접근했을 가능성이 높다, 일부 전·현직 직원이 수사 대상에 올랐다는 점이 이를 뒷받침한다. 사실상 ‘디지털 마스터키’를 지닌 공격자는 방화벽을 우회할 필요 없이 시스템 핵심에 접근할 수 있다는 점에서, 단순 외부 해킹과 달리 권한 관리 체계의 구조적 붕괴를 의미한다.

또 다른 문제는 인력 운용과 법제적 리스크다. 최근 국내 IT 업계에서는 핵심 개발·보안 인력의 특정 국적 편중 문제가 반복 제기되었고, 이번 쿠팡 사건을 두고도 유사한 의혹이 커뮤니티를 중심으로 퍼졌다. 국적 그 자체가 문제가 되는 것이 아니라, 해당 국적이 가진 법적·제도적 특성이 문제다. 특히 중국의 국가정보법(2017년 제정)은 “모든 조직과 개인은 국가 정보활동에 협조해야 한다”고 규정하고 있어, 중국 국적자 또는 중국계 조직이 관련될 시에 국가 안보적 측면에서 부담 요인으로 작동할 소지를 배제하기 어렵다. 해외에 있더라도 적용될 수 있는 이 법규는 기업 내부 인력 구성과 보안 거버넌스에 새로운 차원의 위험 요소다.

법적 대응 측면에서도 문제가 있다. 기존 형법상 간첩죄는 ‘적국’, 즉 북한을 전제로 설계돼 외국 배후의 정보 유출에는 적용 한계가 있었다. 그나마 최근 국회 법사위원회에서 이를 ‘적국’에서 ‘외국’으로 확대하는 개정안을 통과시켰다. 디지털 기반의 공격이 국적에 얽매이지 않는 현실을 고려하면, 법적 정비는 더 이상 미룰 수 없는 과제다.

이번 사건이 북한과 연결될 여지가 있다면 문제는 더욱 심각하다. 북한은 국가 차원에서 사이버 공격을 일상화하면서 해외 정보망에 침투하고 있다. 쿠팡 개인정보 유출이 내부 권한자와 관련이 있는 것이라 하더라도, 북한이 배후에 개입되거나 할 경우 개인정보와 소비 데이터가 국가 안보적 차원의 위협으로 직결될 수 있다.

이번 사건은 단순한 기업 사고를 넘어선다. 규모도 규모이지만 내부 권한 관리의 허점, 인력 구성의 구조적 위험, 외국 법제의 교차 영향, 소비자 행동 데이터를 통한 신종 안보 위협 가능성이 복합적으로 결합되어 있다. 기업 보안은 더 이상 기술 부서 문제에 국한되지 않고, 개인정보는 단순 사생활 정보가 아니라 국가 차원의 안보 자산으로 재분류되어야 한다.

쿠팡 사태는 분명한 경고다. 수사와 책임 규명도 중요하지만, 구조적 진단과 시스템 재설계가 우선되어야 한다. 권한 관리, 로그·토큰·퇴직자 계정 관리, 핵심 인력 배치 투명성 확보, 외국 법제 리스크 반영, 국제 정보 위협 대응 법·제도 정비 등, 모든 조치가 병행되어야 할 것이다.

<원본출처>

경상매일신문 https://www.ksmnews.co.kr/news/view.php?idx=579169