3300만 명 정보가 새나갔다? 거대 기업들의 치명적 방심 스토리

대기업 보안 시스템, 알고 보면 구멍 숭숭?

요즘 뉴스 보면 KT와 쿠팡이 해킹 사고로 난리가 났죠. 이건 단순한 해킹 그 이상이에요. 무려 3300만 개 계정이 유출됐고, 이들이 어떻게 그럴 수 있었나 보니 기본적인 보안 체계가 완전히 붕괴된 상태더라고요. KT는 펨토셀이라는 초소형 기지국에서 발생한 인증서 관리가 총체적 난국이었는데 모든 기지국이 동일한 인증서를 사용해 해커가 이를 복제만 하면 네트워크에 무단 접속이 가능했어요. 쉽게 말해 '호텔 방 키'를 하나 훔치면 전 호텔 방을 자유롭게 드나들 수 있는 꼴이죠.

한편 쿠팡은 더욱 충격적인데요, 내부 직원이 퇴사 후에도 여전히 ‘시스템 출입증’을 갖고 서버에 무단 접근해 고객 정보를 빼냈답니다. 특히 핵심 서명키를 회수하지 않아 5개월 동안이나 접근이 가능했다는 점이 문제였어요. 보안 투자액은 엄청나다고 말하지만 권한 관리 한 방이면 전부 물거품이 될 수 있다는 사실을 보여줬죠.

은폐와 축소 논란에 법적 리스크는?

사건을 금방 신고하고 알리는 게 기본인데도 두 회사 모두 초기에 피해 사실을 축소하거나 숨기려다 결국 더 큰 신뢰의 균열을 자초했어요. KT는 해킹 사실을 7개월 가까이 은폐했고, 심지어 정부 조사 때 관련 증거 서버가 이미 폐기됐다고 거짓 보고까지 했죠. 쿠팡도 초기 신고 규모를 ‘4536개 계정’이라고 낮게 발표했다가 실제로는 수백만 계정 이상이 유출된 게 드러나면서 큰 파장을 일으켰습니다.

이처럼 기업의 책임감 없는 대처는 단순한 보안 사고를 넘어 법적 문제, 심지어 경찰 수사 대상까지 확장될 수 있다는 점을 알려주는 사례입니다. 개인정보 보호에 관련된 법규는 매우 엄격하니 이런 사건이 발생하면 거대한 벌금과 사회적 신뢰 상실이 따라올 수밖에 없어요.

하지만 여기서 중요한 교훈은 보안은 단순히 IT 부서만의 문제가 아니라 회사 전체의 문화와 관리 시스템 문제라는 점이에요. 정부도 이런 반복되는 사고에 강도 높은 제재를 예고하고 있고, 여러분 역시 자신이 사용하는 서비스의 보안 상태를 늘 관심 있게 지켜봐야 할 때입니다.