최근 쿠팡 개인정보 유출 사태는 숫자 하나만으로도 충격적이다. 유출된 개인정보는 약 3300만건. 대한민국 인구의 약 3분의 2에 해당하는 규모다. 이름과 전화번호, 배송 주소, 구매 이력까지 포함된 정보가 장기간에 걸쳐 외부로 흘러나간 것은 단순한 보안 사고를 넘어 사회적 재난이다. 더 큰 문제는 이 사고가 고도의 외부 해킹 때문이 아니라, 충분히 막을 수 있었던 내부의 구조적 실패라는 점이다. 이번 사태를 기술적 결함이 아닌 ‘관리의 부재’, 즉 내부통제 실패의 관점에서 엄중히 바라봐야 하는 이유다.
흔히 개인정보 유출을 해커의 공격이나 기술적 허점으로만 이해하곤 한다. 그러나 대형 사고의 상당수는 내부에서 싹트기 마련이다. 권한을 가진 내부자가 의도적이든 부주의에 의해서든 시스템을 오남용할 수 있는 환경이 방치됐기 때문이다. 쿠팡 사태 역시 특정 개인의 일탈이라기보다, 내부자의 부적절한 개입을 제도적으로 차단하지 못한 구조적 결함에 가깝다. 접근 권한은 과도했고, 직무 분리는 미흡했으며, 이상 징후를 감지하는 통제 장치는 제대로 작동하지 않았다. 이는 전형적인 내부통제 실패의 징후다.
내부통제를 설명할 때 가장 널리 활용되는 기준은 COSO 프레임워크다. COSO는 내부통제를 다섯 가지 구성요소로 설명한다. 첫째, 통제환경은 경영진의 윤리 의식과 통제에 대한 태도다. 둘째, 위험평가는 조직이 직면한 위험을 사전에 식별하고 분석하는 과정이다. 셋째, 통제활동은 승인 절차, 권한 관리, 직무 분리 등 실제로 위험을 통제하는 장치다. 넷째, 정보와 의사소통은 통제 관련 정보가 조직 전반에 제대로 전달되는지를 의미한다. 다섯째, 모니터링은 이러한 통제가 지속적으로 효과를 발휘하는지를 점검하는 기능이다. 이 다섯 요소는 서로 연결돼 있으며, 하나라도 무너지면 전체 통제는 무력화된다.
쿠팡 사태를 COSO 프레임워크에 대입하면 실패 지점은 보다 명확해진다. 먼저 통제환경 측면에서 내부자 위험을 구조적 리스크로 인식하지 못했다. 성과와 속도를 중시하는 조직 문화 속에서 보안과 통제는 효율을 저해하는 요소로 취급됐고, 이는 경영진의 통제 의지가 조직 전반에 충분히 전달되지 않았음을 의미한다. 내부통제에서 말하는 ‘톤 앳 더 탑(Tone at the Top)’이 실종됐다는 비판이 나오는 이유다. 이러한 통제환경의 취약성은 쿠팡의 이원적 지배구조와도 맞닿아 있다. 한국에서 매출을 올리되 전략적 결정은 미국 모회사와 이사회가 내리는 구조는 국내 대기업의 일반적인 지배구조와 궤를 달리한다. 이처럼 권한과 책임의 위치가 분리된 구조에서는 내부통제의 최종 책임 주체가 흐려질 수 있다. COSO가 강조하는 ‘톤 앳 더 탑’은 책임과 권한이 일치할 때 작동하는데, 쿠팡의 지배구조는 그 전제가 온전히 작동하기 어려운 사례이다.
위험평가 역시 미흡했다. 수천만명의 개인정보가 결합될 경우 어떤 피해가 발생할 수 있는지, 내부자가 접근 권한을 악용할 가능성은 없는지에 대한 시나리오 분석이 충분히 이뤄지지 않았다. 암호화 여부나 외부 침입 차단에만 초점을 맞춘 나머지, 내부 접근 자체가 가장 큰 위험이라는 점을 간과한 것이다.
통제활동의 실패는 더욱 직접적이다. 최소 권한 원칙이 제대로 적용되지 않아 특정 계정이 대량의 개인정보에 접근할 수 있었고, 권한 부여·변경·회수 과정에서 이중 승인이나 상호 견제 장치가 작동하지 않았다. 이는 IT 내부통제의 기본인 접근 통제와 직무 분리가 형식에 그쳤다는 뜻이다.
마지막으로 모니터링 기능이 사실상 붕괴돼 있었다. 수개월에 걸친 대량 조회와 접근이 이상 징후로 감지되지 않았고, 경고 체계와 즉각적인 차단 조치도 작동하지 않았다. 내부통제의 마지막 방어선인 모니터링이 실패하면서 피해는 기하급수적으로 확대됐다. 결국 쿠팡 사태는 다섯 가지 COSO 구성요소 중 최소 네 가지 이상이 동시에 작동하지 않은 종합적 내부통제 실패 사례라 할 수 있다.
이번 사건이 던지는 질문은 단순하다. “누가 유출했는가”보다 “왜 조직은 막지 못했는가”다. 개인정보 보호는 기술의 문제가 아니라 통제의 문제이다.
김진욱 건국대학교 경영전문대학원 부원장
