사상 최대 규모의 개인정보 유출 사고 이후 쿠팡 김범석 의장이 공개 사과와 함께 1조 6000억 원이 넘는 보상 계획을 발표했다. 기업 차원에서 보기 드문 책임 인식과 사후 조치라는 점은 분명하다.
그러나 이번 사태를 단순히 한 기업의 관리 부실이나 도덕성 문제로만 환원하는 것은 본질을 흐린다. 사고는 기업에서 발생했지만, 실패한 것은 국가가 수년간 유지해온 정보보호 규제와 인증 중심의 사전적 관리 체계였다.
쿠팡은 사고 이전까지 국가의 정보보호 관리체계(ISMS-P) 인증을 유지해 왔다. 다수의 대기업과 플랫폼 기업들 역시 마찬가지다. 그럼에도 해킹과 개인정보 유출은 반복되고, 사고 규모는 갈수록 커지고 있다.
이는 인증이 보안 역량을 높이는 수단이 아니라, 형식적 요건 충족에 그치고 있음을 보여준다. 점검을 통과했음에도 사고가 발생한다면, 문제는 기업이 아니라 인증 중심 규제 설계 자체에 있다.
정부는 사고가 발생할 때마다 인증 요건을 강화하고, 과징금 상한을 높이며, 보고 의무를 촘촘히 만드는 방식으로 대응해 왔다. 그러나 이러한 접근은 기업의 보안 투자를 실질적으로 유도하기보다는, 규제 대응 비용과 행정 부담만 키웠다.
해킹은 고도화․국제화 되면서, 국가 간 글로벌 사이버 정보전쟁이 본격화 되고 있다. 그럼에도 정부 보호인증 제도는 체크리스트에 머물렀고, 결과적으로 예방은 실패했다. 강한 규제가 곧 강한 보안을 의미하지 않는다는 사실이 반복적으로 확인된 셈이다.
이번 사태에서 쿠팡은 해커의 공격이라는 외부 요인에도 불구하고 막대한 보상 비용을 떠안았다. 반면 해커를 사전에 차단하고, 위협 정보를 공유하며, 산업 전반의 보안 수준을 끌어올릴 국가의 역할은 거의 보이지 않았다.
현재의 정보보호 체계는 사고 이후 기업을 제재하는 데는 적극적이지만, 사고 이전 국가가 무엇을 했는지에 대해서는 책임을 묻기 어렵다. 이는 시장에도, 국민에게도 공정한 구조가 아니다.
정보보호 정책의 중심은 개별 기업에 대한 사전 규제가 아니라, 민관 협력 차원의 사이버 위협 대응 역량 구축으로 이동해야 한다. 공공과 민간을 가로지르는 위협 정보를 상시 수집·분석하고, 산업 전반과 개별 기업에 공유하며, 침해 징후를 조기에 탐지하는 체계가 필요하다.
이는 기업의 자율적 보안 투자와 결합될 때 비로소 효과를 발휘한다. 규제 강화로 기업을 위축시키는 방식은 더 이상 해법이 아니다.
또 하나의 감독기관이나 과징금 부과 기관을 만들자는 얘기가 아니다 공공·민간·금융·플랫폼을 포괄하는 통합 관제와 예방․대비 중심의 민관협력 방식 통합적․전문적 기구가 불가피하게 필요한 시점이다.
위협 수준에 따른 경보 발령, 침해 정보 공유, 사이버보안 기술 지원과 인력 양성, 정책 개발 및 해외 정보유출 대응체계 개선 등이 핵심 기능이 되어야 한다.
이는 기업을 잠재적 가해자로 보는 시각이 아니라, 함께 보호해야 할 경제 주체로 인식하는 전환을 전제로 한다. 쿠팡 사태는 기업의 책임만을 묻는 방식으로는 개인정보도, 디지털 혁신도 지킬 수 없다는 점을 보여준다.
자유시장 경제에서 보안은 규제로 강제되는 것이 아니라, 국가의 치안 기능과 기업의 자율적 투자가 결합될 때 강화된다.
이제 정부는 실패한 사전인증 방식과 사후처벌 중심 규제를 되돌아보고, 정보보호 거버넌스를 근본적으로 재설계해야 한다. 그것이야말로 곧 시민인 소비자들의 신뢰와 시장의 역동성을 동시에 지키는 길이다.
고광용 자유기업원 정책실장