쿠팡이 최근 대규모 개인정보 유출 사고를 겪으면서 보안 관리 체계 전반에 대한 재점검이 필요하다는 지적이 커지고 있다. 이번 사고는 특정 개발자의 무단 접근으로 인해 발생한 것으로 추정되지만 전문가들은 단일 인물의 문제라기보다 퇴사자 계정 관리·권한 통제·모니터링 체계 등 조직적 보안 거버넌스의 실패가 근본 원인이라고 보고 있다.
숫자 읽기
퇴사 후 147일간 계정 접근 가능
내부 통제 시스템에 근본적 허점 드러남
1일 국회 과학기술정보방송통신위원회 최민희 위원장실에 따르면 용의자는 쿠팡 인증 시스템을 담당했던 전직 개발자로 알려졌다. 이 개발자는 퇴사 이후 약 147일간 회사 데이터베이스에 무단 접근해 개인정보를 유출한 것으로 추정된다.
업계 관계자들은 "퇴사자 계정을 즉시 비활성화하고 접근 권한을 철저히 회수하는 절차는 IT 보안의 기본"이라며 "147일간 접근이 가능했다는 것은 내부 통제 시스템에 근본적 허점이 있었다는 의미"라고 지적한다.
앞서 쿠팡은 지난달 25일 정보통신망 침입 혐의로 성명불상자를 고소했고 현재 서울경찰청 사이버수사대가 수사 중이다. 경찰은 쿠팡이 제출한 서버 로그 등을 토대로 유출 경로와 사용된 IP를 분석하고 있으며 전직 개발자를 포함한 복수의 가능성을 염두에 두고 조사를 이어가고 있다.
수사 단계에서 특정 국적이나 개인을 단정하기 어려운 만큼 정확한 접근 경로와 권한 관리 실태가 핵심 쟁점이 되고 있다.
보안 전문가들은 이번 사례를 해외 개발자 고용 확대나 국적 구성 비율과 연결시키는 시각에 대해 경계해야 한다고 말한다.
한 보안 컨설턴트는 "국적은 보안 사고의 변수로 작용하지 않는다"며 "문제의 핵심은 권한 관리 프로세스, 이상징후 모니터링, 보안팀과 개발팀 간 협업 구조에 있다"고 강조했다.
또 다른 전문가는 "글로벌 기업들은 이미 다국적 개발 인력을 운영하지만 강력한 IAM(Identity and Access Management)과 Zero Trust 구조를 통해 내부 위험을 통제한다"며 "쿠팡도 조직 확장 속도에 비해 보안 거버넌스 구축이 뒤처진 것"이라고 분석했다.
일부 내부자들은 해외 개발자 비중이 높아지면서 소통 구조가 달라졌다고 토로하지만, 이는 글로벌 기업 전반에서 나타나는 공통 현상이라는 분석도 있다.
IT업계 한 관계자는 "다국적 조직에서는 언어·업무 스타일 차이에서 오는 갈등이 존재하지만, 이를 국적 문제로 해석하면 논의가 왜곡된다"며 "보안과 같이 회사 핵심 시스템은 역할·권한·책임(R&R)을 명확히 하고, 국적과 무관하게 동일한 기준으로 통제하는 것이 중요하다"고 말했다.
쿠팡 측은 "무단 접근 경로를 차단하고 외부 보안 전문가를 영입해 내부 모니터링을 강화하고 있다"며 "이번 일로 인해 발생한 모든 우려에 대해 진심으로 사과 드린다"고 밝혔다.
![[뉴스핌 이 시각 PICK] "유출된 정보 범죄 조직에 흘러가나" 外](https://img.newspim.com/news/2025/12/01/2512011430545530.jpg)
![‘쿠팡 사태’ 수혜주는?…“소프트캠프, 문서 반출 금지 기술 기대” [줍줍리포트]](https://newsimg.sedaily.com/2025/12/01/2H1K6WGGJY_1.jpg)
