1. 충격적인 쿠팡 개인정보 유출, 무엇이 문제였나?
얼마 전 쿠팡에서 발생한 개인정보 유출 사건은 우리 사회에 큰 충격을 주었습니다. 처음에는 4,500여 건이라고 발표했지만, 나중에는 무려 3,770만 건에 달하는 대규모 유출이었음이 드러나 사실상 전 국민의 정보가 위험에 노출된 것이나 다름없었죠. 더욱 논란이 된 것은 기업 측이 ‘유출’이 아닌 ‘노출’이라는 표현을 사용하며 사태의 심각성을 축소하려 했다는 점입니다. 이번 사건의 주범은 쿠팡의 전 중국인 개발자로 밝혀졌는데, 외부 해킹이 아닌 내부 인력에 의한 정보 유출이라는 점에서 더욱 경각심을 불러일으켰습니다. 그는 ‘서명 키’라는 마스터 키를 이용해 고객 정보를 빼돌렸고, 쿠팡의 기본적인 보안 설계 부족이 이러한 대규모 유출로 이어졌다는 분석이 나오고 있습니다.
2. 허술한 내부 통제, 글로벌 기업의 보안은?
이번 쿠팡 사태의 또 다른 핵심 원인은 바로 ‘내부 통제 실패’에 있었습니다. 퇴사한 직원의 사원증, 계정, 접근 권한 등이 제대로 회수되지 않아 발생한 문제였죠. 미국의 실리콘밸리 기업들이 해고 당일 보안 게이트에서부터 접근을 차단하는 강력한 방식을 사용하는 것과 비교하면, 국내 기업의 내부 통제는 여전히 미흡한 수준입니다. 미국의 사이버 보안국에서도 퇴사자 계정 관리가 제대로 이루어지지 않으면 해킹 위험이 매우 높다고 경고하며, 국내 정보 보호 인증 제도 역시 퇴사자의 모든 접근 권한 회수를 명시하고 있지만 잘 지켜지지 않고 있는 것이 현실입니다.
3. 왜 우리는 외국인 개발자를 필요로 하는가?
그렇다면 왜 우리 기업들은 외국인 개발자, 특히 중국인 개발자들을 채용하는 것일까요? 이는 ‘인력 수급’의 용이함과 깊은 관련이 있습니다. 중국은 알리바바, 테무 등 거대 이커머스 시장에서 수억 건의 주문을 처리하는 시스템을 개발한 인재들이 풍부합니다. 또한 중국 내 IT 기업의 ‘996(오전 9시부터 밤 9시까지 주 6일 근무)’ 문화와 높은 청년 실업률로 인해 해외 취업에 대한 열망이 매우 강합니다. 최근 중국 청년들 사이에서 유행하는 ‘루니(Run+윤택하다)’라는 신조어에서 그들의 염원을 엿볼 수 있죠. 반면 국내에서는 정부의 디지털 인재 양성 노력에도 불구하고, 중국 개발자들만큼의 실전 경험을 갖춘 ‘시니어 개발자’가 부족하다는 지적이 있습니다. 심지어 뛰어난 국내 인재들은 더 높은 연봉과 선진 연구 인프라를 찾아 해외로 유출되는 ‘뇌이동’ 현상도 심화되고 있어, 우리는 외국인 인재 유치에 더욱 의존하게 되는 상황입니다.
4. 외국인 원격 근무의 양날의 검, 보안 강화는 필수!
최근 IT 업계에서는 비용 절감과 인력 확보를 위해 베트남, 몽골 등 중국 외 지역의 외국인 개발자를 원격으로 채용하는 추세가 확산되고 있습니다. 프로그래밍 언어는 만국 공통이기에 국적은 큰 문제가 되지 않으며, 현지 기준으로 연봉을 책정하고 추가 비용이 들지 않아 기업 입장에서는 매력적인 선택지입니다. 하지만 ‘원격 근무’는 보안에 치명적인 약점을 가지고 있습니다. 재택근무는 물론, 물리적으로 다른 국가에 있는 직원이 회사의 핵심 데이터 망에 접속할 때 발생하는 보안 취약점은 이루 말할 수 없습니다. 범인이 해외로 도피할 경우 사법 관할권 문제로 수사가 어려워진다는 구조적 약점도 존재합니다. 전문가들은 이러한 문제를 해결하기 위해 개발 데이터와 운영 데이터를 최대한 분리하고, 실제 데이터 접근 시에는 동료나 매니저의 까다로운 승인 절차를 거치도록 하는 등 강력한 보안 정책을 마련해야 한다고 강조합니다.
5. 기업의 보안 투자, 선택 아닌 필수!
많은 기업들이 보안에 대한 투자를 ‘비용’으로만 인식하며 소홀히 하는 경향이 있습니다. 보안은 돈이 많이 들지만 투자 대비 효과가 눈에 잘 띄지 않고, 문제가 터져도 당장 큰 손실로 이어지지 않는다는 인식이 강하기 때문입니다. 하지만 이는 매우 위험한 생각입니다. 글로벌 빅테크 기업들이 매출의 1% 이상을 보안에 투자하는 반면, 국내 대기업들은 0.2%에도 미치지 못하는 투자를 하고 있는 것이 현실입니다. 기업들이 보안에 적극적으로 투자하게 만들려면 어떻게 해야 할까요? 전문가들은 유럽의 GDPR 사례처럼 ‘강력한 벌금’을 대안으로 제시합니다. 개인정보 보호 절차 하나만 어겨도 조 단위의 벌금을 부과하여, 보안 투자를 하지 않았을 때의 ‘리스크’를 극단적으로 높여야 한다는 것입니다. 이제 기업에게 보안 투자는 선택이 아닌 생존을 위한 필수 전략이 되어야 합니다.
