지난 2025년 11월, 쿠팡에서 보안사고가 발생되었다. 이번 사고는 퇴사한 직원이 반출한 JWT 서명 키 하나에서 시작됐다. 하지만 이를 단순한 개인의 일탈로 치부해서는 안 된다. 이 사고는 101개 항목의 ISMS-P 인증을 획득하고도 정작 ‘퇴사자 시크릿 로테이션’ 같은 핵심 보안 조치는 놓치게 만드는, 한국형 보안 규제 시스템의 구조적 실패를 적나라하게 보여준 사건이다. 체크리스트 통과에 최적화된 투자는 결코 현대적 보안 위협을 막아낼 수 없다.
사고 개요
퇴사한 중국인 직원이 JWT 서명 키를 들고 나갔고, 이 키로 임의의 유저 세션을 생성해 수개월간 고객 개인정보에 접근했다. 이상 접근이 시작된 건 11월 6일, 침해 인지는 12일 후인 18일이었다.
분명히 해두자. 이건 퇴사자의 악의적인 범죄 행위다. 그것도 단순한 퇴사자가 아니라 인증 시스템 개발팀 소속 정규직 직원이었다. 쿠팡의 인증 시스템을 직접 만든 사람이 재직 중에 JWT 서명 키를 빼돌렸다. 이 정도면 거의 불가항력에 가깝다. 인증 시스템을 설계하고 구현한 사람이 악의를 품으면, 어떤 기업이든 막기 어렵다.
여기서 짚고 넘어가야 할 게 있다. 쿠팡은 보안에 투자를 안 한 기업이 아니다. 공시를 보면 쿠팡만큼 보안에 돈을 쓴 한국 기업도 드물다. ISMS-P 인증도 보유하고 있었다. 그리고 솔직히 말하면, 이런 내부자 위협은 막기가 정말 어렵다. 정당한 권한을 가진, 그것도 시스템을 직접 만든 사람이 악의적인 마음을 먹고 행동하면 탐지 자체가 난제다. 최근 신한카드에서도 내부자가 영업 DB를 휴대폰으로 사진 찍어 유출하는 사고가 있었다. 어떻게 막겠나.
그렇다면 질문은 이렇게 바뀌어야 한다. 이렇게 어려운 문제에 대해 규제는 어떤 가이드를 주고 있나? 답은 아무것도 없다. ISMS-P 101개 항목 체크리스트에는 Zero Trust, 시크릿 수명주기 관리, 비인간 자격증명(NHI) 통제, 실시간 이상 탐지 같은 현대적 보안의 핵심 화두가 빠져 있다. “JWT 서명 키 접근 최소화”, “퇴사자 시크릿 즉시 로테이션”, “세션 생성 패턴 모니터링” 같은 실질적 통제가 아니라, 문서화와 절차 준수 여부를 확인하는 데 그친다. 기업들은 규제가 요구하는 방향으로 투자한다. 규제가 체크리스트 통과를 요구하면, 투자도 체크리스트 통과에 최적화된다. 쿠팡 사고는 단순한 기업의 실수도, 단순한 범죄자의 소행도 아니다. 한국 보안 규제 체계가 현대적 위협에 대한 가이드조차 주지 못한다는 걸 보여주는 사건이다.
정부가 유일한 권위인 나라
쿠팡 사고 이후 한국 정부의 대응은 예측 가능한 패턴을 따랐다. 과기정통부, 고용노동부, 국토부, 개인정보위, 방통위, 금융위, 공정위, 국정원, 경찰청까지 총동원된 범정부TF가 가동됐다. 경찰은 7차에 걸쳐 68시간 압수수색을 진행했다.
논란이 된 건 쿠팡의 대응이었다. 쿠팡은 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 글로벌 사이버보안 업체에 의뢰한 자체 조사 결과를 발표했다. 이에 과기정통부는 “민관합동조사단에 의해 확인되지 않았다”고 반박했고, “쿠팡이 일방적으로 대외에 알린 것에 대해 강력히 항의”했다. 경찰도 “쿠팡과 사전에 연락하거나 협의한 적 없다”는 입장을 냈다. 한국 여론은 쿠팡의 행동을 ‘괘씸죄’로 읽었다. 정부 조사가 진행 중인데 왜 먼저 발표하냐는 것이다.
그런데 미국이었다면 어땠을까. 침해사고가 발생하면 민간 포렌식 업체에 조사를 의뢰하고, 결과가 나오면 SEC 공시를 통해 투자자에게 알리며, 고객에게도 신속하게 통지한다. 이게 표준 프로세스다. 상장기업이라면 중대한 사이버보안 사고를 4영업일 이내에 공시해야 하는 법적 의무도 있다. 정부 조사가 끝날 때까지 기다리라는 문화가 아니다. 투자자와 고객에 대한 신속한 정보 공개가 기업의 책임이고, 그걸 위해 민간 전문가를 활용하는 건 당연하다.
쿠팡이 글로벌 스탠다드를 따랐다고 칭찬하려는 게 아니다. 다만 이건 문화의 차이다. 한국 시스템에서는 정부만이 유일한 조사 권위를 가진다. 세계적으로 인정받는 민간 포렌식 업체의 분석이라도 정부가 확인하기 전까지는 공식적으로 무효다. 기업이 자체 조사 결과를 먼저 공개하면 괘씸죄가 된다. 미국 시스템에서는 민간 조사 결과 발표, SEC 공시, 시장의 평가, 그리고 집단소송으로 자연스럽게 이어진다. 정부 조사는 그 과정의 일부이지, 다른 모든 것을 중단시키는 절대 권위가 아니다. 어느 쪽이 옳다는 게 아니라, 한국에서 기업이 현대적 보안 거버넌스를 실행하려 해도 시스템이 받쳐주지 않는다는 얘기다.
ISMS-P라는 면죄부
쿠팡만의 문제가 아니다. SK텔레콤, KT, 롯데카드, 예스24, 넷마블 등 ISMS-P 인증을 보유한 기업들에서 유출 사고가 계속됐다. 2020년 이후 ISMS-P 인증 기업 27곳에서 34건의 개인정보 유출 사고가 발생했고, 유출된 정보는 3,600만 건을 넘는다. 그런데 지금까지 인증이 취소된 사례는 단 한 건도 없다.
왜 이런 일이 반복될까. ISMS-P의 구조적 한계 때문이다. 사후심사는 특정 시점에 약 5일 동안만 관리체계가 작동하는지 확인하는 스냅샷 점검에 그친다. 연 5일 심사로 365일의 보안을 검증한다는 건 애초에 불가능하다. 심사가 실질적인 보안 태세를 점검하지 않고, 기업이 작성한 체크리스트를 확인하는 요식 행위로 전락했다는 비판이 나오는 이유다.
더 심각한 건 인센티브 구조다. ISMS-P 인증을 보유하면 개인정보 유출 사고가 발생해도 과징금을 최대 50%까지 감경받을 수 있다. 인증·심사 기관은 기업당 1,000만 원이 넘는 수수료를 받고, 기업은 사고 발생에 대비한 면책 인증을 구매하는 셈이다. 조직이 보안을 실효성이 아니라 서류·심사 통과에 최적화하는 건 당연한 결과다.
대륙법의 태생적 한계
이 문제의 뿌리는 한국이 채택한 법체계 자체에 있다. 대륙법은 성문법주의를 따른다. 의회 입법을 통해 가급적 모든 규정 사항을 법전에 담아두고, 사안마다 성문화된 법을 해석해 문제를 해결한다. 법을 이성의 완결판이자 최고규범으로 여기고, 완전하고 흠이 없는 명확한 법을 추구한다.
사이버보안에서 이 접근법은 치명적인 약점을 드러낸다. ISMS-P는 101개 항목의 체크리스트로 구성된다. 법에 명시된 것만 검증하고, 명시되지 않은 새로운 위협에는 대응할 수 없다. 위협 환경은 매일 변하는데, 법 개정은 몇 년이 걸린다. 그 사이 기업들은 구식이 된 체크리스트를 통과하는 데만 집중하고, 실제 보안은 뒷전이 된다.
대륙법과 영미법의 근본적 차이를 보여주는 표현이 있다. 대륙법은 “권리가 있는 곳에 구제책이 있다”는 전제에서 출발한다. 먼저 법으로 권리를 정의하고, 그 권리가 침해됐을 때 구제책을 제공한다. 반면 영미법은 “구제책이 있는 곳에 권리가 있다”에서 시작한다. 실제 피해가 발생하고, 그 피해에 대한 구제가 이뤄지는 과정에서 권리가 형성된다.
미국의 다른 접근: Reasonable Security
미국 FTC는 1914년에 제정된 법에 기반해 47건의 사이버보안 집행 조치를 취하면서, 합리적 보안(reasonable security)이라는 개념을 발전시켜 왔다. 핵심은 이것이 특정 기술이나 도구의 체크리스트가 아니라 유연한 프로세스 기반 기준이라는 점이다. 기술과 보안 위협이 급격히 변해도 합리성 기준은 함께 진화한다.
FTC는 2000년 이후 89건의 데이터 보안 집행 조치를 취했고, 이 판례들이 축적되면서 기업들이 따라야 할 합리적 보안의 기준이 형성됐다. FTC 동의 명령은 통상 20년간 효력이 유지된다. 정적인 보안 조치 목록은 없다. 위협과 방어책이 지속적으로 진화하기 때문이다. 조직은 정기적 위험 평가에 기반한 정보보안 프로그램을 만들고, 자사의 위험 프로필과 환경 변화에 따라 계속 발전시켜야 한다.
SEC도 2023년 규정을 통해 원칙 기반 접근을 강화했다. 상장기업은 중대한 사이버보안 사고를 중대성 결정일로부터 4영업일 이내에 공시해야 한다. SEC 의장 게리 겐슬러의 말처럼, “회사가 화재로 공장을 잃든, 사이버보안 사고로 수백만 개의 파일을 잃든, 투자자에게 중대할 수 있다.” 특정 기술을 요구하는 게 아니라, 투자자에게 사이버보안 위험을 얼마나 심각하게 다루는지 정보를 제공하도록 하는 것이다.
시장이 검증하는 보안
미국 시스템의 진짜 힘은 정부 규제가 아니라 민간 검증 생태계에 있다. 집단소송, 사이버보험, SOC 2 같은 민간 인증이 복합적으로 작동하면서 기업의 보안 수준을 시장에서 검증한다.
데이터 유출 시 미국에서는 수백만에서 수천만 달러 규모의 합의금이 일상적이다. 2019년 페이스북은 FTC로부터 50억 달러 과징금을 부과받았고, 피해 이용자들에게 7억 2,500만 달러의 합의금을 추가로 지불했다. 한국에서는 어떤가. 개인정보 유출 시 전체 매출액의 3%를 초과하지 않는 범위에서 과징금이 부과되고, 그 돈은 국가로 귀속된다. 피해자가 배상받으려면 직접 소송을 해야 한다. 개인정보위원장조차 “법원이 해석한 관례는 소비자 눈높이와 달라 상당히 아쉽다”고 인정할 정도다.
사이버보험도 중요한 역할을 한다. 보험 신청 자체가 기업의 사이버 관행에 대한 평가를 강제한다. 보험사들이 보안 관행을 평가하고 그에 기반해 보험료를 책정하기 때문에, 보안 수준이 높은 기업은 낮은 보험료와 유리한 조건을 받는다. 정부 규제 없이도 기업이 자발적으로 보안에 투자하게 만드는 인센티브가 작동하는 것이다.
SOC 2는 법적으로 요구되지 않는 민간 인증이다. 미획득에 대한 벌금도 처벌도 없다. 그런데 금융기관에 서비스를 판매하려면 거의 확실히 Type II SOC 2가 필요하다. 시장이 요구하기 때문이다. SOC 2는 경직된 체크리스트가 아니다. 각 회사가 Trust Services Criteria를 준수하기 위한 자체 통제를 설계하고, 독립 감사인이 그 통제가 요구사항을 충족하는지 검증한다. 인증이 목적이 아니라 실제 보안이 목적이 되는 구조다.
그래서 어떻게 해야 하나
한국이 하루아침에 영미법 체계로 바뀔 수는 없다. 하지만 현행 시스템의 구조적 한계를 인식하고, 보완할 수 있는 영역은 분명히 있다.
먼저, ISMS-P 인증과 과징금 감경의 연결고리를 끊어야 한다. 인증이 면죄부가 되는 순간, 기업은 실질 보안이 아니라 인증 획득에 최적화한다. 인증은 인증이고, 사고 책임은 사고 책임이다.
다음으로, 민간 포렌식과 조사 결과의 법적 지위를 인정해야 한다. 맨디언트나 팔로알토 같은 글로벌 업체의 분석이 정부 확인 전까지 공식적으로 무효라면, 기업이 신속하게 사고에 대응하고 투명하게 공개할 인센티브가 사라진다.
마지막으로, 피해자 구제 체계를 실질화해야 한다. 과징금이 국가로만 귀속되고 피해자는 개별 소송을 해야 하는 구조에서는, 기업이 피해자보다 정부 눈치를 보게 된다. 집단소송 활성화든, 과징금의 일부를 피해 배상 기금으로 전환하든, 피해자에게 실질적 구제가 돌아가는 구조가 필요하다.
쿠팡 사고는 끝이 아니라 시작이다. 인증 시스템을 직접 만든 개발자가 악의를 품고 키를 들고 나가면, 어떤 기업이든 막기 어렵다. 하지만 그렇게 어려운 문제에 대해 한국의 보안 규제는 아무런 가이드도 주지 못했다. 101개 항목 체크리스트를 다 통과해도, 정작 현대적 위협에 대한 대비는 빠져 있었다. 법에 명시되지 않았으니까. 이게 대륙법 기반 보안 규제의 태생적 한계다. 인정하고 보완하지 않으면, 다음 사고는 시간문제다.
Ben DH Kim - Notes from Building Cyber Security Startup 
Leave a comment