「쿠팡 사태가 경고한 국민안보위기 디지털 재난…
법은 아직도 공백」

– 해킹은 상시화됐는데, 기업 책임은 실종
– 쿠팡이 드러낸 플랫폼 보안 붕괴… 더 이상 ‘사고’로 덮을 수 없다
– 최형두 의원, 플랫폼 보안체계 전면 재설계 ‘정보보안 패키지 4법’ 대표발의

국회 과학기술정보방송통신위원회 소속 최형두 의원(국민의힘)은 쿠팡 사태를 계기로, 개인정보 보호·클라우드 보안·해킹 대응 체계를 근본적으로 재설계하는 「정보보안 패키지 법안」 4건을 대표발의했다고 밝혔다.

최의원은 “최근 쿠팡에서 발생한 대규모 개인정보 유출 사건은 단순한 기업 내부 사고를 넘어, 국내 디지털 보안 체계 전반의 구조적 취약성을 드러낸 중대한 경고”라고 지적했다

이와함께 “클라우드 서버 운영, 외부 협력사 활용, 국외 원격접속 환경이 결합된 플랫폼 구조 속에서 보안 책임이 사실상 공중분해된 현실이 이번 사태를 통해 명확히 확인됐다”고 진단했다

■ 쿠팡 사태가 보여준 ‘플랫폼 보안 책임의 실종’

최 의원은 “쿠팡 사례는 보안 실패의 원인을 특정 개인이나 단일 정부부처 기관 문제로 돌릴 수 없는 구조적 위기”라며 “클라우드 설정 오류, 외주 인력의 과도한 접근권한, 내부 통제 부실이 결합될 경우 개인정보는 순식간에 무방비 상태가 된다는 점을 여실히 보여줬다”고 지적했다.

그럼에도 현행 법체계는 민간 대형 클라우드 이용 기업과 제공자에게 실질적인 보안 의무와 책임을 명확히 부과하지 못하고, 국외 원격접속을 통한 개인정보 접근 역시 사실상 제도적 사각지대에 놓여 있다는 비판이 반복돼 왔다.

■ “사고는 국내에서, 책임은 해외로 빠져나가는 구조”

특히 쿠팡과 같이 글로벌 클라우드 환경과 연계된 플랫폼 기업의 경우, 개인정보 처리·접근·관리의 상당 부분이 국외 인프라와 연결돼 있음에도 사고 발생 시 국내 제도만으로는 책임 소재를 명확히 가리기 어려운 구조가 반복되고 있다.

최 의원은 “지금의 구조에서는 사고 피해는 국내 이용자가 떠안고, 책임은 해외 법인과 복잡한 계약 구조 뒤로 숨을 수 있다”며 “이는 명백한 제도 실패이자, 디지털 시대의 새로운 국민안보위기, 안전 공백”이라고 강조했다.

■ 반복되는 ‘쿠팡형 사고’, 정보보안 패키지 4법으로 차단

최형두 의원이 대표발의한 정보보안 패키지 법안은 사후 처벌이 아닌 사전 예방 중심의 국가 사이버·개인정보 보호 체계 확립을 목표로 한다.

① 정보통신망법 개정안 (보안취약점 신고·면책 제도)
• 기업의 보안취약점 처리방침(CVD) 수립·공개 유도
• 해당 절차를 준수한 화이트해커·보안연구자에 대한 민·형사 면책 근거 마련
• 중대한 취약점 발생 시 정부 신고 및 이용자 통지 의무화

② 정보통신망법 개정안 (내부자·공급망·클라우드 보안 강화)
• 원격접속자·수탁업체 계정 관리, 내부자 이상행위 탐지, 공급망·클라우드 보안 조치를 법률에 명시
• 정보보호 감사 자료 보관·제출 의무화로 사고 원인 분석 및 재발 방지 강화
• 클라우드법 개정과 연계해 플랫폼·대기업의 보안 책임성 명확화

③ 클라우드컴퓨팅법 개정안
• 민간 대형 클라우드 기업에도 보안인증(CSAP) 의무화
• 계정별 접근통제·공급망 보안 기준을 법률로 명시
• 클라우드 정보보호 최고책임자(CISO) 지정, 정기 보안감사 및 자료 보관 의무화
• 민간 클라우드 보안 수준을 공공 수준으로 상향

④ 개인정보 보호법 개정안
• 국외 원격접속을 통한 개인정보 접근도 ‘국외 이전’으로 명확히 규정
• 개인정보 국외 이전 시 개인정보보호위원회 심의·의결 의무화
• 접근권한 관리, 접속기록 보관 등 안전성 확보 조치를 법률로 상향

■ “특정 기업 겨냥 넘어 구조적 안전장치 마련”

최 의원은 “쿠팡 사태는 시작에 불과할 수 있다”며 “지금 손보지 않으면 같은 유형의 개인정보 대형 사고는 다른 플랫폼, 다른 산업으로 확산될 것”이라고 경고했다.

이어 “이번 정보보안 패키지 법안은 특정 기업을 겨냥한 것이 아니라, 쿠팡 사태로 확인된 구조적 문제를 더 이상 방치하지 않기 위한 최소한의 안전장치”라며 “국민의 개인정보와 디지털 신뢰를 지키는 법적 기준을 분명히 세우겠다”고 밝혔다.