이 기사는 2025년 12월 01일 14:15 thebell 에 표출된 기사입니다.

쿠팡의 개인정보 유출 규모가 3000만 건 이상으로 확장되면서 내부통제 부실이 도마에 올랐다. 그간 탐지와 시뮬레이션, 거버넌스 구축 기능을 함께 갖춘 보안체계를 유지해 왔지만, 내부 위협에 대해선 대비가 부족했던 것으로 평가된다. 실제 이와 관련된 보안 시뮬레이션 기능 역시 현재 신규 채용을 통해 보강 중인 것으로 나타났다.

외부 해킹이 아닌 내부 유출이더라도 개인의 일탈로 치부하긴 어려운 상황이다. 특히 고객 이름·주소 등 식별정보(PII)가 반출된 것은 데이터 거버넌스 미흡을 드러낸 사례로 남을 가능성이 크다. 쿠팡은 고객 정보 보호를 위해 국가 인증 취득은 물론 개인정보보호책임자(CPO) 직책을 별도 운영해왔다.

◇200여명으로 구성된 보안팀…'내부 위협' 시뮬레이션 담당 구인 진행

1일 유통업계에 따르면 쿠팡의 사이버보안 조직은 크게 블루팀과 레드팀으로 구성된다. 전자가 외부 침입을 방어한다면 후자는 위협 시뮬레이션 설계와 수행 등을 맡아 모의 해킹을 진행한다. 모니터링을 통해 공격 징후를 포착하는 역할과 공격 테스트를 진행해 취약점을 찾아내는 역할 분담을 뒀다.

방어자인 블루팀은 탐지와 대응, 피해 최소화가 목표다. 하위팀 역시 이런 영역에 따라 세분화해 운영하고 있다. 모니터링 등 관제 역할인 CSOC(Cyber Security Operation Center), 위협에 대응하는 DART(Detection And Response Team)가 주된 구성이다. 이와 함께 위협 탐지 솔루션을 맡은 엔지니어링팀, 보안장비 운영팀(BlueOps)이 존재한다.

‘공격수’인 레드팀 역할은 선제적 대응이다. 위협 발생 이전에 시스템 취약점을 찾는 것이 주된 목표다. 명칭 역시 프로액티브 시큐리티 팀(Proactive Security Team)이다. 외부 위협 시뮬레이션을 설계하는 레드팀(Red Team), 실제 시뮬레이션 캠페인을 진행하는 고스트팀(Ghost Team)이 존재한다.

정보보안 조직을 총괄하는 것은 브랫 메티스 최고정보보호책임자(CISO)다. CISO 휘하에 200여명 이상의 인력을 운용 중이다. 투자하는 금액도 매년 증가세다. 한국인터넷진흥원(KISA)의 정보보호 공시에 따르면 쿠팡의 정보보호 부문 투자액은 2021년 535억원, 2022년 639억원, 2023년 659억원, 지난해 889억원으로 나타났다.

단 이번 사건에선 이런 방어 수단이 제대로 작동하지 못했다. 내부 직원의 권한 남용이 거론된다는 점을 고려하면 외부 위협 대응에만 초점이 맞춰져 있었을 가능성이 크다. 실제 쿠팡 측은 현재 내부 위협 대응 차원에서 프로액티브 시큐리티 팀 내 ITCO(Insider Threat Counter Operation) 기능 구현을 위한 채용을 진행하고 있다. 서울은 물론 미국 본사에도 동시 구인이 이뤄지고 있다.



◇국가 인증 취득·CPO 별도 운영에도 데이터 거버넌스 ‘구멍’

내부 직원에 의한 유출이더라도 방어막이 존재하지 않았던 것은 아니다. 쿠팡 내에 고객들의 개인식별정보(PII· Personally Identifiable Information) 관련 실무 조직이 있다. PII 접근 요청을 검토하고 권한을 부여하는 PPMT(PII Protection Management Team)팀이다. 이상행위 탐지나 검수 등은 물론 개인정보 이용과 관련된 감사 업무도 수행한다.

개인정보 보호를 위한 전사 거버넌스 체계 역시 존재한다. 쿠팡은 CISO와 별도로 개인정보보호책임자(CPO) 직책을 운영해 왔다. CPO 산하에 데이터 접근 체계와 보호정책 수립 등을 담당하는 보안 GRC(Security Governance·Risk·Compliance) 조직도 운영 중이다. 개인정보 보호와 관련된 각종 법령과 규제 검토 역시 업무에 해당한다. LG유플러스로 이동한 홍관희 전무에 이어 김종준 CPO가 총괄 중이다.

쿠팡은 개인정보 보호 관련 국가 인증인 ISMS-P(정보 보호 및 개인정보 보호 관리 체계)를 지난 2021년과 2024년 취득했다. ISMS-P 인증에서는 개인정보 보호를 위한 관리체계 수립과 운영, 보호대책 기준 등을 종합적으로 본다. 중요 정보에 대한 비인가 접근 통제와 권한 관리 역시 핵심 평가 대상에 포함되어 있다.

IT업계 관계자는 “ISMS-P 제도가 도입 후 주요 기관과 대형 기업들은 인증 취득이 일반화됐고, 쿠팡 역시 규정에 따라 요건을 모두 갖췄을 것”이라며 “단 제도적 요건을 갖췄더라도 실제로 이를 실무자 선에서 구현하는 것은 다른 문제이기 때문에 취약점이 발생했던 것 같다”고 분석했다.