지난 2월27일, 쿠팡 김범석 의장이 개인정보 유출 사실이 공개된 지 99일 만에 육성으로 공개 사과를 했다. 그 사과의 무대는 미국 월가 투자자들을 대상으로 한 콘퍼런스콜이었다. 신뢰 회복에 대한 의지가 한국 국민이 아닌 미국 자본시장을 향했다는 사실은 이번 사태가 지닌 복잡한 이중구조를 상징적으로 드러낸다.



이 사건이 촉발한 파장은 이미 개별 기업의 보안 사고 수준을 훌쩍 넘어섰다. 쿠팡 한국법인 임시 대표의 미 하원 법사위 7시간 비공개 증언, 미국 5개 투자사의 국제투자분쟁해결(ISDS) 중재 절차 개시 등 일련의 상황은 대한민국 디지털 거버넌스가 직면한 전례 없는 도전이다.

이경호 고려대 정보보호대학원 교수

사건의 발단은 쿠팡 인증 시스템 설계를 담당했던 중국 국적 전직 직원이 퇴사 후에도 유효 상태로 방치된 인증 토큰을 악용해 서버에 접근, 고객 정보를 대규모로 탈취한 데 있다. 공격은 2025년 6월부터 약 5개월에 걸쳐 지속됐으며, 쿠팡은 이 기간 동안 내부 통제 시스템의 근본적인 부실로 인해 이를 전혀 감지하지 못했다.



정보보호를 연구하는 입장에서 필자는 현재의 교착 상태를 풀 열쇠가 한·미 양국이 ‘유출’을 바라보는 시각 차이를 냉정히 인정하고 이를 기술적 사실로 메워 나가는 정교한 전략에 있다고 판단한다.



핵심 쟁점은 ‘유출의 완결성’ 문제다. 정부 조사 결과, 공격자가 개인정보를 해외 클라우드 서버로 전송할 수 있도록 설계된 악성 프로그램이 확인됐다. 그러나 데이터가 실제로 외부망을 통해 반출됐음을 입증할 ‘전송 로그’는 끝내 확보하지 못했다. 개인정보보호위원회는 관리자의 통제권을 벗어난 비인가자의 접근·조회 자체를 ‘유출’로 해석하는 입장이다.



반면 미 의회와 투자자들은 물리적 반출 증거가 부재한 상황에서의 대규모 제재를 ‘미국 기업에 대한 차별’이자 ‘정치적 제재’로 규정하고 있다.



이 판단 기준의 간극이야말로 한·미 통상 관계에 잠재된 가장 위험한 뇌관이다. 기술적 모호성을 극복하지 못한 채 선언적 수치에만 기대어 역대급 과징금이 부과된다면, 이는 무역법 301조에 따른 조사와 보복 조치, 그리고 ISDS 배상 청구라는 국익의 손실로 이어질 수 있다.



결론적으로, 이번 사태의 해법은 글로벌 스탠더드에 입각한 합리적 비례성에 있다. 보안체계의 근본적 부실에 대해서는 타협 없이 책임을 물어야 한다. 동시에 유출 규모 산정에 있어서는 입증된 사실과 기술적 한계를 냉정하게 반영해야 한다. 이 두 요건이 함께 충족될 때 비로소 우리의 법 집행은 국제적 정당성을 얻는다.



정부는 법 집행의 정당성을 기술로 증명해야 하고, 기업은 소비자 보호에 대한 실질적 혁신으로 신뢰를 회복해야 한다. 한·미 양국이 공유하는 민주주의와 법치의 가치가 ‘데이터 주권’과 ‘안보 동맹’ 사이의 복잡한 매듭을 풀어나가는 유일한 준거가 되어야 할 시점이다.

이경호 고려대 정보보호대학원 교수

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지