지난 24일, 쿠팡 서비스 오류 소식에 한국인터넷진흥원(이하 KISA)이 바빠졌다.

쿠팡 측이 정확한 오류 원인을 밝히지 않은 시점에서, 해킹을 당한 게 아니냐는 관측이 나왔기 때문. 

정보통신망법과 개인정보보호법에 따르면, 쿠팡과 같은 정보통신서비스 제공자는 침해사고 발생 확인 시 KISA에 신고해야 한다. 

게다가 업계 추정 쿠팡의 월간 사용자(MAU)는 1000만 명에 달할 정도 이용자가 많다. ‘제2의 인터파크’ 사태가 발생할 가능성도 충분했다. 지난 ‘16년 당시 인터파크는 이용자 1032만 명의 아이디·비밀번호 등 개인정보 2540만여 건이 외부로 유출됐다.

기업 신고 전까지는 깜깜무소식…선제적 조치는커녕 현장 조사도 어려워

다행히도 쿠팡 오류는 내부 시스템 문제로 밝혀졌지만, 사이버 공격 침해 사고와 개인정보 유출 신고 체계의 문제가 지적되고 있다. 

쿠팡의 경우, 오전 7시에 최초 오류 발생 후, 6시간이 지난 13시에 되어서야 보도자료를 통해 ‘재고 데이터베이스와 관련된 기술적 문제’라고 전했다.

그사이 KISA는 쿠팡이 원인을 밝히기 전까지 현장 조사는 물론 점검 확인도 할 수 없었다. 

최근 4년간 개인정보 유출의 약 80%가 외부 공격으로 발생했다는 점을 고려하면, 쿠팡 오류가 해킹으로 확인될 경우 빠른 현장 조사 및 선제적 조치가 필요한 상황이었다. 침해 사고 발생 시, 해당 서비스 이용자의 개인정보 유출 등 관련 피해는 순식간에 유포되기 때문. 

또 해당 서비스 이용자가 직접 비밀번호를 변경하거나 유출 정보를 확인해 추가 피해를 막아야 된다. 그러나 지금의 기업 중심의 침해 신고 시스템에는 이용자는 배제된 상태다. 

조사하는 KISA도 답답하기는 마찬가지다. KISA는 개인정보 침해사고 대응과 피해 확산 방지 차원에서 독립적인 조사 권한이 없다. 

지난 3월 2019년 업무 보고 간담회에서 김석환 KISA 원장은 가상화폐 거래소 해킹 사례를 예시로 들며, “사이버 침해사고 시 KISA가 조사 권한이 없다”며, “연이은 해킹 사건에 따른 개인정보 유출 사건에도 해당 기업의 동의를 받아야만 조사할 수 있다”고 점검 한계를 토로한 바 있다. 

KISA 측은 침해 사고 권한 확보를 위한 의견을 입법 부처에 전달한 상태지만, 100일 넘게 국회가 마비된 상황에서 관련 논의는 지지부진하다.

실질적인 이용자 보호는 뒷전 “신고했으니 끝”

쿠팡은 다수 이용자가 사용하는 인터넷 쇼핑몰의 특성상, 오류 및 확인이 쉽게 알려났지만, 중견 서비스 기업의 경우, 이미지 등의 이유로 신고보다는 우선 숨기기에 급급한 실정이다.

지난 4월 발생한 가비아 개인정보 유출 사건이 대표적 사례다. 가비아는 4월 29일(월) 정보 침해 사실 인지 후, 3일 뒤인 5월 2일(수)에 개인정보 유출 사실을 확인하고 KISA 측에 신고했다. 이후 유출사고에 대한 보고와 사과문을 당사 홈페이지에 게재하는 데 그쳤다. 

가비아 사용자 및 유출 피해자에게 별도의 문자나 메일을 알리는 과정은 없었던 것. 이후 2주 후에야 언론 등을 통해 가비아 유출 사실이 대중에 전달됐다.

보안업계 관계자는 “인터넷 서비스 쓰는 사람 중에 기업 홈페이지 공지사항 확인하는 이용자가 몇이나 되겠냐”며, “실질적인 추가 대응보다는 ‘모르면 그만’이라며 쉬쉬하면 넘어가려 하는 분위기”고 지적했다.

이어 “점점 개인정보 유출 사건이 늘어나는 건 해킹 공격 고도화와는 별개로 기업들의 안일한 대응도 크다”며, "일시적으로라도 정보 유출에 대한 기업의 경각심을 줄 수 있는 법제도 마련이 필요하다"고 덧붙였다.

물론 KISA의 조사권 강화에도 조건은 필요하다. 권헌영 고려대학교 정보보호대학원 교수는 KISA 초동 조사 권한 강화의 전제조건으로 “사고 발생의 개연성이 객관적으로 명백한 경우, 피해자의 신고가 믿을 만한 충분한 사유가 있는 경우, 피해 확산이나 정도가 긴급 대응이 불가피할 정도로 급하거나 중대한 경우 등이 될 수 있다”고 설명했다.