“개인 정보 유출”은 이제 더 이상 낯선 단어가 아닙니다. 2014년 1월, 우리 사회에 큰 충격을 주었던 대규모 개인 정보 유출 사태는 여전히 많은 이들의 기억 속에 남아있습니다. 당시 언론을 통해 알려진 바에 따르면, 롯데카드 2,600만 건, KB국민카드 5,300만 건, NH농협카드 2,200만 건 등 거의 1억 건에 달하는 고객 정보가 유출된 것으로 파악되었습니다. 이 사건은 단일 기업의 문제가 아니라, 신용정보회사 코리아크레딧뷰로(KCB) 직원이 고객 정보를 불법적으로 빼돌리면서 발생했습니다. 즉, 카드사들이 외부 협력업체에 대한 관리·감독을 제대로 하지 못해 초래된 대규모 보안 사고였던 것입니다.

수많은 이용자들이 불안감에 휩싸였고, 자신의 소중한 정보가 어디까지 퍼져나갔을지 알 수 없어 밤잠을 설쳤습니다. 금융사라는 고객 신뢰를 최우선으로 해야 할 기관에서 이처럼 치명적인 보안 허점이 드러났다는 사실은 당시 사회 전반에 걸쳐 큰 우려를 낳았고, 우리가 매일 사용하는 수많은 서비스의 보안 시스템, 특히 외부 협력업체와의 관계 속에서 발생하는 보안 취약성에 대한 근본적인 의문을 제기하게 만들었습니다.

그렇다면 10년 전 그 사건 이후에도 한국 기업들, 특히 대기업들에서 이처럼 보안 사고가 끊이지 않고 반복되는 걸까요? (물론 2014년과 같은 대규모 금융권 유출 사태는 드물지만, 크고 작은 기업들의 보안 사고는 여전히 발생하고 있습니다.) 그 원인을 몇 가지 측면에서 살펴볼 수 있습니다.

한국 기업의 보안 사고가 반복되는 원인

첫째, 보안을 ‘비용’으로 인식하는 경향이 강하다는 점입니다. 당장 수익으로 직결되지 않는다는 이유로 보안 시스템 구축이나 전문 인력 투자에 소극적이며, 사고 발생 후 수습에 급급한 ‘사후약방문식’ 대응에 그치는 경우가 많습니다.

둘째, ‘빨리빨리’ 문화가 보안에 치명적인 영향을 미칠 수 있습니다. 서비스나 신기술을 빠르게 도입하고 출시하는 과정에서 보안 검토나 테스트 과정을 충분히 거치지 않고 진행되는 관행이 일부 남아있을 수 있습니다.

셋째, 복잡하게 얽힌 외주 업체 관리의 허술함은 2014년 사태에서 명확히 드러났듯, 여전히 많은 기업의 아킬레스건입니다. 핵심 정보를 다루는 외부 업체에 대한 보안 요구사항, 점검, 그리고 관리 감독이 미흡할 경우 언제든 대규모 사고로 이어질 수 있습니다.

넷째, 최고 경영진이 보안의 중요성을 경영의 핵심 가치로 인식하지 못하고 형식적인 규제 준수에만 초점을 맞추는 문화도 문제로 지적됩니다. 보안은 단순히 법적 규제를 지키는 것을 넘어, 기업의 생존과 직결되는 핵심 역량이라는 인식이 부족할 때, 기업 내부 곳곳에 허점이 남게 됩니다.

이러한 요소들이 복합적으로 작용하여 겉으로는 번지르르한 보안 시스템을 갖춘 듯 보여도, 실제로는 언제든 터질 수 있는 시한폭탄을 안고 있는 형국일 수 있습니다.

근본적인 변화를 위한 제언

이러한 악순환의 고리를 끊어내기 위해서는 근본적인 변화가 필요합니다. 보안은 더 이상 부차적인 ‘비용’이 아니라, 기업의 지속 가능한 성장을 위한 필수적인 ‘투자’이자 ‘가치’로 인식되어야 합니다.

• 최고 경영진부터 일선 직원까지 모두의 보안 의식 강화가 필수적입니다. 이를 위한 체계적인 교육과 캠페인이 지속적으로 이루어져야 합니다.
• 단순히 시스템을 갖추는 것을 넘어, 외부 위협에 대한 선제적인 분석과 방어 시스템을 구축하고, 최신 보안 위협 트렌드에 발맞춰 끊임없이 업데이트해야 합니다.
• 특히, 2014년 사태의 교훈을 잊지 말고 외부 협력업체에 대한 보안 관리 및 감독을 더욱 강화해야 합니다. 계약 단계부터 종료 시점까지 보안 요구사항을 명확히 하고, 정기적인 보안 감사와 교육을 의무화해야 합니다.
• 비상 상황 발생 시 투명하고 신속하게 대응하여 고객과의 신뢰를 지켜내는 것이 중요합니다.

개인의 소중한 정보는 기업에게 있어 단순한 데이터가 아니라, 반드시 지켜야 할 무거운 책임이자 약속임을 잊지 말아야 할 것입니다. 이러한 근본적인 변화만이 한국 기업의 보안 수준을 한 단계 끌어올리고, 고객들의 신뢰를 회복하여 더 안전하고 지속 가능한 디지털 환경을 만들어 나가는 길입니다.