0외부 해킹서 내부 관리 부실로…반복되는 ‘기본 방어 실패’
퇴사자 권한·DLP 무용화…AI·클라우드 확산 속 운영 리스크 폭증
문서 심사 한계 드러난 ISMS-P…“현장·기술 중심으로 패러다임 전환해야”
최근 통신사·금융권, 대형 플랫폼 등에서 잇따라 발생한 개인정보 유출 사고는 인공지능(AI)·클라우드 전환 속도와 달리 기업의 보안 운영·관리 체계가 여전히 뒤처져 있다는 사실을 여실히 드러냈다. 데이터 이동과 복제 규모는 기하급수적으로 늘어나고 있지만 퇴사자 접근 권한 회수, 실시간 위험 탐지, 데이터 흐름 추적과 같은 기본적 관리 기능조차 제대로 작동하지 않는 곳이 적지 않다. 기업 보안 체계 전반이 구조적으로 흔들리고 있다는 우려가 커지고 있다.
7일 관련 업계에 따르면, 최근 메리츠증권에서는 타인의 해외 주식 체결 내역이 제3자에게 모바일트레이딩시스템(MTS) 알림으로 전달되는 오류가 발생했다. 카드사에서도 유사 사고가 반복되면서 불신이 확대됐다. 롯데카드의 경우 297만 명 규모의 고객정보 유출 사실이 사고 발생 후 2주가 지나서야 뒤늦게 드러났다.
플랫폼 기업에서도 취약점은 반복되고 있다. 쿠팡은 2021년과 2024년 두 차례 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받았지만 같은 기간 네 차례 개인정보 유출 사고를 겪었다. 특히 퇴사자의 접근 권한이 수개월간 방치돼 내부에서 정보가 유출된 사례는 기술적 결함보다 권한 관리와 운영 절차 부실이 더 큰 원인으로 지목된다.
퇴사자 권한·DLP 무용화…AI·클라우드 확산 속 운영 리스크 폭증
문서 심사 한계 드러난 ISMS-P…“현장·기술 중심으로 패러다임 전환해야”
 |
최근 통신사·금융권, 대형 플랫폼 등에서 잇따라 발생한 개인정보 유출 사고는 인공지능(AI)·클라우드 전환 속도와 달리 기업의 보안 운영·관리 체계가 여전히 뒤처져 있다는 사실을 여실히 드러냈다. 데이터 이동과 복제 규모는 기하급수적으로 늘어나고 있지만 퇴사자 접근 권한 회수, 실시간 위험 탐지, 데이터 흐름 추적과 같은 기본적 관리 기능조차 제대로 작동하지 않는 곳이 적지 않다. 기업 보안 체계 전반이 구조적으로 흔들리고 있다는 우려가 커지고 있다.
7일 관련 업계에 따르면, 최근 메리츠증권에서는 타인의 해외 주식 체결 내역이 제3자에게 모바일트레이딩시스템(MTS) 알림으로 전달되는 오류가 발생했다. 카드사에서도 유사 사고가 반복되면서 불신이 확대됐다. 롯데카드의 경우 297만 명 규모의 고객정보 유출 사실이 사고 발생 후 2주가 지나서야 뒤늦게 드러났다.
플랫폼 기업에서도 취약점은 반복되고 있다. 쿠팡은 2021년과 2024년 두 차례 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받았지만 같은 기간 네 차례 개인정보 유출 사고를 겪었다. 특히 퇴사자의 접근 권한이 수개월간 방치돼 내부에서 정보가 유출된 사례는 기술적 결함보다 권한 관리와 운영 절차 부실이 더 큰 원인으로 지목된다.
2일 국회 과학기술정보방송통신위원회 긴급 현안 질의에서 김승주 고려대 정보보호대학원 교수는 “ISMS-P에는 퇴직자 접근권한 회수가 명시돼 있다”며 “쿠팡이 이를 제대로 관리하지 못했다는 점에서 운영 전반의 부실이 드러난다”고 지적했다.
일반적으로 기업 내부에서 고객정보가 외부로 전송되면 누가, 언제, 어떤 경로로 반출했는지 자동으로 감지하는 정보유출방지(DLP) 시스템이 작동한다. 전문가들은 쿠팡이 유출 사실조차 인지하지 못한 것은 보안 운영의 기본이 무너진 결과라고 입을 모은다. 쿠팡처럼 가입자가 많은 플랫폼은 DLP 리포팅을 ‘단일 보고’가 아닌 ‘다중 보고’ 체계로 운용하는 것이 일반적이다.
김명주 서울여대 지능정보보호학부 교수는 “DLP 기능이 존재하고도 활용하지 않았다면 직무유기”라고 말했다. 황석진 동국대 국제정보보호대학원 교수도 “이상징후 탐지를 촘촘하게 구성할수록 비용과 인력 부담이 커지지만 동일한 IP에서 여러 신분증이 반복 접근하는 상황조차 인지하지 못한 건 운영 부실의 전형”이라고 지적했다.
AI·클라우드 전환 가속은 운영 리스크를 더욱 키우고 있다. 김형중 고려대 정보보호대학원 교수는 “퇴사자 접근 권한 회수는 가장 기본적인 수칙이지만, 데이터 스프롤(Data Sprawl) 문제 때문에 실제 접근 권한을 삭제해도 사본이 여러 시스템에 남을 수 있다”며 “이 문제가 앞으로 더 심화될 가능성이 크다”고 경고했다.
대규모 AI 추천 시스템을 운영하는 플랫폼의 경우 데이터가 다양한 스토리지·캐시·API에 자동 복제되기 때문에 삭제·차단만으로는 관리가 완결되지 않는 구조라는 의미다. 데이터 스프롤은 데이터가 여러 서버·클라우드·캐시·API 등으로 끝없이 분산·복제돼 저장 위치조차 파악하기 어려워지는 현상이다. 금융투자업계 관계자도 “데이터가 몇 차례 복제됐는지조차 추적이 불가능한 지점이 생기고 있다”고 말했다.
그러나 정보보호 및 개인정보보호 관리체계 인증(ISMS·ISMS-P)은 여전히 문서 중심의 절차 심사에 머물러 있다. 클라우드·API·AI 환경에서는 데이터가 실시간 복제·전송되지만 인증은 연 1회 정기 심사만 진행된다. 이에 정부는 예비 심사 단계에서 기술 심사와 현장 실증을 강화하고, 인증기업에서 유출 사고가 발생할 경우 특별 사후 심사를 적시에 시행하는 방향으로 제도를 개편하겠다고밝혔다. 하지만 전문가들은 사후 점검 강화만으로는 부족하며 인증 제도 자체의 ‘패러다임 전환’이 필요하다고 지적한다.
황석진 교수는 “서류 위주 심사는 인증 무용론만 키운다”며 “기술·관리·운영 영역을 실제 시나리오 기반으로 모의해킹하고 운영환경을 직접 점검하는 방식으로 전환해야 인증의 신뢰도가 올라간다”고 강조했다.
[이투데이/김연진 기자 (yeonjin@etoday.co.kr)]
▶프리미엄 경제신문 이투데이 ▶비즈엔터
이투데이(www.etoday.co.kr), 무단전재 및 수집, 재배포금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
![9만달러 횡보 비트코인 반등 기회? FOMC 금리인하 촉각 [크립토360]](/_next/image?url=https%3A%2F%2Fthumb.zumst.com%2F256x144%2Fhttps%3A%2F%2Fstatic.news.zumst.com%2Fimages%2F37%2F2025%2F12%2F08%2F5198d8bc92514544a690a6913050ce46.jpg&w=384&q=100)
![[팩트체크] 박나래 ‘주사 이모’ 논란…의료계 “향정약 클로나제팜 대리 처방은 명백한 불법”](/_next/image?url=https%3A%2F%2Fthumb.zumst.com%2F256x144%2Fhttps%3A%2F%2Fstatic.news.zumst.com%2Fimages%2F110%2F2025%2F12%2F08%2Ff833d418c5744e1ba03c3aeaca468e6f.jpg&w=384&q=100)
