이 기사는 2025년 12월 05일 08:04 THE CFO에 표출된 기사입니다.

지난달 아마존 정보보호최고책임자(CISO)인 CJ 모지스가 링크드인을 통해 보안 위협을 직접 경고했다. 보안 장비의 제로데이 취약점을 노린 공격 시도를 새롭게 탐지했다는 내용이다. 아마존 자체 시스템인 ‘매드팟(MadPot)’의 성과였다.

아마존은 취약해 보이는 가짜 서버, 매드팟을 운영하고 있다. 해커들이 공격에 성공할 수 있다고 착각하게 하기 위해 설계된 미끼용 네크워크다. 클라우드 컴퓨팅이 폭발적으로 성장하던 2010년대 후반부터 이 시스템을 가동해왔다. 지금은 매일 감지하는 위협 신호만 하루 평균 7억5000만건에 달한다.

외부 보안업체에 의존하지 않고 자체 시스템을 고집하는 이유를 아마존은 ‘3분의 법칙’으로 설명한다. 새로운 매드팟 센서를 노출하면 90초 안에 스캔당하고 3분 안에 공격받는데, 외부 데이터에 의존해선 그 속도를 따라잡을 수 없다는 이야기다.

그래서 모지스의 이번 발표는 단순한 정보 공유를 넘어 ‘남들이 모르던 위협까지 찾아내 방어하고 있다’는 자랑에 가깝다. 과거 아마존은 방어 기제를 최대한 감추는 보수적 태도를 고수했다. 해커들에게 덜 노출되는 길이라고 믿었기 때문이다. 하지만 요즘은 기조가 달라졌다.

지난해 모리스는 “과거엔 우리의 방식을 알릴 필요를 못 느꼈지만, 이제 고객들은 우리가 그들을 보호하기 위해 무엇을 하고 있는지 알고 싶어 한다”며 침묵을 깼다. 시장 신뢰를 얻기 위해선 역량을 공개해야 한다는 전략적 판단이다.

현재 모지스는 거의 매주 링크드인에 보안 소식을 전하고 있다. 유출 사고가 생긴 뒤에도 적극적 통지를 꺼리고, 퇴사자의 API 키를 관리하지 못해 147일간 속수무책으로 당한 쿠팡의 현실과 대조된다.

쿠팡 사태의 원인은 투자와 인식의 빈곤에 있다. 자난해 쿠팡의 정보보호 투자액은 연매출의 0.2% 수준에 불과했다. 0.4~0.5%를 투자한 네이버·카카오에 한참 못 미친다. IT 예산 대비 정보보호 투자금액 비중도 2022년 이후 매년 감소하는 추세다. ‘로켓 성장’이란 목표 아래 덩치는 불렸지만 보안 투자엔 인색했다.

최근 JP모건은 쿠팡의 시장 지위가 대체 불가능하다는 이유로 고객 이탈이 제한적일 것이라 내다봤다. 하지만 한국의 아마존이라는 타이틀은 물류 혁신만으로 얻을 수 없다. 디지털시대 플랫폼 기업에게 정보 보안은 생존의 기반이며, 신뢰를 잃은 플랫폼은 사상누각이다.

아마존의 ‘3분 방어’와 쿠팡이 노출한 147일의 공백. 이 분명한 시간의 격차를 쿠팡은 기억할 필요가 있다.