개인정보·통신·플랫폼 전반의 구조적 취약성 재부상

7일을 전후해 쿠팡 개인정보 유출, LG유플러스 AI 서비스 오류, 플랫폼·금융사의 보안 점검 강화 등이 이어지며 국내 디지털 인프라 전반이 다시 흔들리고 있다.

특히 사고가 특정 분야에 국한되지 않고 플랫폼·통신·금융·공공영역으로 확산되면서 기존 대응 체계가 디지털 전환의 속도를 따라가지 못하고 있다는 우려가 더욱 짙어졌다.

이번 사태는 기업별 관리 미비를 넘어, 개인정보 국외 이전 규제·통신 인프라 관리·보안 인증 제도의 공백이 동시에 드러난 구조적 문제로 평가되고 있다.

▲ 이커머스 1위 업체 쿠팡에서 약 3천400만건에 이르는 대규모 개인정보가 유출된 가운데 4일 서울 시내 한 쿠팡 물류센터에 배송차량이 주차돼 있다. [연합뉴스 제공]

◆ 반복되는 플랫폼 사고, 드러난 관리 체계의 한계

쿠팡 개인정보 유출은 전직 직원이 중국 국적이며 해외로 출국한 정황이 알려지면서 데이터의 국외 반출 가능성까지 제기됐다. 이미 C커머스에 대한 소비자 불신이 확산된 가운데 추가적인 위험 가능성이 드러나면서 플랫폼 기반 서비스의 취약성이 전면에 떠올랐다. G마켓과 알리익스프레스 합작 사례에서도 공정거래위원회가 3년간 데이터 분리 조치를 조건으로 승인했지만, 이번 유출 논란을 계기로 해당 조치의 실효성에 대한 문제 제기가 다시 이어졌다.

이와 함께 G마켓에서 확인된 60여 건의 무단 결제 피해는 대형 플랫폼에서의 개인정보·결제정보 관리 체계가 충분히 견고한지 의문을 남겼다. 결제 시스템은 민감 정보와 직결되는 만큼 안정성이 필수적이지만, 실제 사고가 반복된다는 점은 플랫폼 기업 전반의 내부 통제 체계가 여전히 취약하다는 신호로 해석된다. 서비스 규모가 커질수록 단일 장애가 광범위한 피해로 이어질 수 있는 만큼 관리 체계 강화 요구도 커지고 있다.

사고 후 대응 과정 역시 문제로 지목됐다. 쿠팡의 안내문 링크가 광고성 문구를 표시하거나 사과문 게시·삭제가 반복된 사례는 정보 제공의 일관성과 정확성이 확보되지 않았다는 점을 보여준다. 플랫폼이 대규모 사고 이후 신속하고 정확한 안내를 제공하지 못할 경우 소비자 신뢰는 급격히 약화될 수 있으며, 이는 사고 자체보다 더 큰 불신 요인으로 작용한다는 점에서 개선 필요성이 제기된다.

◆ 민간 보안 강화에도 구조적 불안이 남는 이유

사고 이후 네이버·카카오·토스 등 플랫폼·금융사는 보안 강화 조치를 발표하며 대응에 나섰다. 토스는 상시 모의 해킹과 내부 침투 시나리오 점검을 확대하고 이상 징후 감지 체계를 24시간 운영하는 방식으로 보안 수준을 높이고 있다. 카카오는 사고 시나리오 기반 훈련을 늘리고 카카오톡 지갑을 통해 2차 피해 방지 메시지 발송을 강화하는 등 이용자 보호 조치를 병행하고 있다.

네이버는 커머스·쇼핑 부문 전담 인력을 두고 개인정보 무단 열람을 막기 위한 내부 통제를 강화하고 있다. 이러한 조치는 플랫폼·금융사의 대응 역량을 높이는 데 의미가 있으나, 보안 사고의 성격상 기업 내부 조치만으로는 모든 위험을 차단하기 어렵다는 평가가 따른다. 특히 서비스 구조가 복잡해지고 AI·클라우드 기반 기능이 확장될수록 위험 요소도 함께 증가해 ‘사후 강화’ 중심의 대응 체계가 한계에 봉착하고 있다는 지적이 제기된다.

민간의 보안 강화 노력에도 불구하고 이용자 불안이 쉽게 회복되지 않는 이유는 구조적 요인이 크다. 플랫폼 서비스는 여러 기술·데이터·외부 시스템이 복합적으로 연결돼 있어 일부 영역에서의 취약성이 전체 서비스 안정성을 위협할 수 있다. 이 같은 구조적 복합성은 기업 단독 조치를 넘어 제도적·범정부적 대응이 필요하다는 점을 시사한다.

◆ 통신 인프라 사고 확산…기간망 관리 체계 재점검 필요

LG유플러스 AI 통화요약 서비스 ‘익시오’에서 발생한 정보 노출 사고는 통신 인프라 전반의 보안 리스크를 다시 부각시켰다. 통화 요약 정보와 전화번호 등 민감 정보가 101명의 이용자에게 14시간가량 노출됐고, 회사가 직접 인지하지 못한 채 고객 신고로 확인됐다는 점은 관리 체계의 기본적인 감시·통제 기능이 미흡했다는 평가를 낳았다. LG유플러스는 서버 기능 개선 과정에서 발생한 오류라고 설명했지만 우려는 쉽게 가시지 않았다.

이 이전에도 SK텔레콤의 대규모 해킹, KT의 불법 기지국 접속 및 소액결제 사고 등이 반복되면서 통신사가 국가 기간망 사업자로서 충분한 보안 능력을 갖추고 있는지 의문이 제기돼왔다. 가입자 규모가 큰 통신사에서의 보안 사고는 단일 기업 문제로 그치지 않고 사회 전반에 영향을 미칠 수 있어 위험 수준이 높다. 이에 정부가 최근 통신 3사를 대상으로 불시 점검을 실시한 것은 기간망 관리 체계에 대한 우려가 제기된 상황을 반영한 것으로 해석된다.

통신망은 금융·공공서비스 등 다양한 분야와 연결돼 있어 하나의 사고가 다수 서비스의 장애로 이어질 가능성도 존재한다. 이번 LG유플러스 사고는 AI 서비스 기반 통신 시스템에서 새롭게 등장할 수 있는 위험 유형을 보여줬다는 점에서 향후 유사 서비스에 대한 사전 위험 평가와 검증 강화 필요성이 제기된다.

◆ 개인정보 해외 이전 규제 공백…동일 규율 요구 커져

쿠팡 유출 사태는 개인정보 해외 이전 규제와 감독 체계의 공백을 다시 드러냈다. 현행 제도에서는 이용자 사전 동의를 통해 국외 이전을 허용하고 있으나, 해외 서버에서의 저장·처리·공유 등에 대한 정부의 실질적 감독권은 제한적이라는 지적이 이어져 왔다. 글로벌 플랫폼 중심의 서비스 구조가 확산되면서 국내에서 수집된 데이터가 해외로 이동하는 과정에서 통제 가능성이 낮아지고 있어 제도 개선 요구도 커지고 있다.

영향력이 큰 C커머스 기업이 국내 이용자 데이터를 처리하는 과정에서 실제 정보 접근 통제가 가능한지 의문이 제기되고 있다. 알리익스프레스 등 일부 해외 플랫폼이 개인정보 국외 이전 위반으로 과징금 처분을 받은 사례도 존재해 규제 실효성 논란은 더욱 커진 상태다. 전문가들은 국내 기업과 해외 플랫폼을 동일한 기준으로 규제해야 한다고 강조하며 감독 권한 강화가 필요하다고 지적한다.

G마켓–알리 합작 사례에서 공정거래위원회가 데이터 분리 조치를 조건으로 승인했음에도 여전히 불신이 제기된 점은 현행 규제가 변동성이 큰 글로벌 플랫폼 환경을 온전히 반영하지 못한다는 점을 보여준다. 개인정보 해외 이동에 대한 규제 강화와 더불어 국외 접근자의 정보 처리 행위를 추적·감독할 수 있는 실질적 장치 마련이 요구된다.

◆ 디지털 전환 속 제도 재설계가 요구되는 이유

사고가 플랫폼·금융·통신을 넘어 공공 인프라까지 확산함에 따라 국가 디지털 안전망 전반의 재설계가 필요하다는 목소리가 커지고 있다. 정부는 ISMS-P 인증 사후관리와 통신사 보안 인프라 점검을 강화하고 있으나, 이러한 조치가 근본적 위험 요소를 차단하기에는 한계가 있다는 지적이 나온다. 제도·기술·감독 체계가 디지털 전환 속도에 미치지 못하는 상황에서는 사이버 리스크가 지속적으로 반복될 가능성이 높기 때문이다.

특히 개인정보 국외 이전 규제 강화, 공공망 운영 기준 개편, 플랫폼 책임성 확대, AI 기반 서비스의 사전 위험 평가 도입 등 중장기적 제도 개선이 요구되고 있다. 기술 기반 서비스 의존도가 높아진 사회에서는 보안 사고가 일상생활과 경제활동에 미치는 영향이 빠르게 확대되고 있어, 체계적이고 예측 가능한 안전망 구축이 중요하다는 평가가 제기된다.

나아가 민간 기업의 자율적 대응뿐 아니라 국가 차원의 통합적 위험 관리 체계가 필요하다는 주장도 힘을 얻고 있다. 디지털 생태계가 복잡하게 연결된 상황에서는 단일 기관이나 기업의 대응만으로는 전체 위험을 관리하기 어렵기 때문이다. 이를 위해 감독 권한 강화, 실효성 있는 규제 도입, 공공·민간 협력 기반의 통합 보안 체계 구축이 향후 핵심 과제로 부상하고 있다.

☑️ 요약:
 연쇄적으로 발생한 IT사고는 개인정보 해외 이전 규제, 통신 인프라 보안, 플랫폼 정보관리 체계 등 국가 디지털 안전망 전반의 구조적 취약성을 드러냈다. 플랫폼·금융·통신사는 대응을 강화하고 있으나, 제도·감독 체계의 공백은 여전히 남아 있다. 디지털 전환 속도에 맞춘 안전망 재설계와 통합적 위험 관리 체계 구축이 요구되고 있다.