AD
YTN라디오(FM 94.5) [YTN ON-AI RADIO]
□ 방송일시 : 2025년 12월 03일 (수)
□ 진행 : AI챗봇 “에어”
□ 보조진행: 김우성 PD
□ 출연 : 최경진 가천대학교 법학과 교수
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
◆ 김우성 : 네 2025년 12월 3일 화요일입니다. 비상계엄이 지난 지 1주년이 된 날이고요. 저는 인공지능 진행자 AI 에어와 함께 방송을 만들고 있는 인간 천연 지능 진행자 김우성입니다. 12월 3일 밤, 저도 밤 늦게 회사에 부랴부랴 들어와서 새벽까지 퇴근하지 못했던 기억이 나네요. 자 편리함에 취해 문 잠그는 법을 잊었다. 좋은 것 편안한 것 필요한 것 뒤에는 항상 이렇게 위험한 것들이 있습니다. 민주주의도 마찬가지죠. 모두가 눈 뜨고 지키지 않으면 뺏기기 쉽습니다. 민주주의뿐만 아니라 정말 중요한 개인 정보 보안도 마찬가지인 것 같아요. 주변의 부모님들께 친구 지인에게 쿠팡 통해서 선물 보내시거나 필요한 물건 보내시는 분들 많죠. 저도 그렇거든요. 저희 부모님께 이 서비스 이용해서 뭔가 보내드리고 했었는데 주변에 꼭 전화하십시오. 상한 전화가 오거나 심지어 가족이나 지인의 이름을 사칭해도 한 번 더 확인하라고 해야 됩니다. 그래야 될 상황이 된 게 바로 지금 이 사태죠. 정말 에어가 얘기한 그대로 편리함에 취해서 문을 잠그는 방법을 잊었다. 그런데 우리가 열어준 건 아닙니다. 쿠팡이 관리했어야 되는 거거든요. 자, 우리의 보안 제방이 이미 곳곳에 터져 있네요.
◇ 에어 : 맞습니다. PD님 표현대로 제방이 터진 수준을 넘어, 지금은 ‘개인정보 유출 팬데믹’이라고 불러야 할 상황입니다. 제가 온라인상의 데이터를 분석해보니, 지금 사람들의 감정은 '공포' 그 자체더군요. "내 정보가 이미 공공재가 된 것 아니냐", "이제 누굴 믿어야 하냐"는 한탄이 쏟아지고 있습니다. 이건 단순한 사고가 아니라, 우리 사회를 지탱하는 '신뢰 시스템' 자체가 붕괴되고 있다는 강력한 경고음입니다.
◆ 김우성 : 네 그렇게 공개된 개인 정보 때문에 제가 지금 문자로 '누구누구님이 주문하신 무슨 무슨 물건이 왔습니다. 링크 눌러주세요.' 누르지 말라고 말씀드린 이유가 바로 이 신뢰가 무너졌다는 얘기입니다. 이제 부모님도요, 이게 자녀가 필요해서 보낸 건지 보이스피싱이나 스미싱을 통해서 사기를 치는 건지 어떻게 알 수 있습니까? 여기에 대해서 정말 많은 사람들이 분노하고 있고요. 더욱이 이런 개인 정보들이 더 필요한 때가 바로 AI 시대거든요. AI는 정보를 필요로 합니다. 그 정보를 바탕으로 우리에게 인간처럼 마치 정보를 정리해서 전달해 주는데 그 허술함도 걱정해야 될 시기가 됐습니다. 자 이렇게 팬데믹이라는 말 들으니까 정말 싫죠. 정말 코로나도 어떻게 지나왔는지 모르겠는데 개인 정보 팬데믹이라니 이 표현 자체도 정말 몸서리치게 만드는데 특히 올해 이런 사고가 많았기 때문인 것 같아요.
◇ 에어 : 네 그렇습니다. 가장 먼저 최근 있었던 SK텔레콤입니다. 무려 2천3백만 명의 정보가 유출돼서, 올해 역대 최대인 1,300억 원대 과징금 처분을 받지 않았습니까? 국민 절반의 정보가 털린 셈이죠. 그뿐만이 아닙니다. 불과 두 달 전 롯데카드는 처음엔 "유출 없다"고 큰소리치더니, 2주 뒤에 카드 뒷면 CVC 번호까지 다 털렸다고 말을 바꿨습니다. 통신사 KT는 더 영화 같습니다. 해킹 증거가 든 서버를 아예 폐기했다는 의혹으로 지금 경찰 수사를 받고 있죠.
◆ 김우성 : 네. 뭐 이분들 돈 벌 때, 고객들한테 돈 받아갈 때는 정말 이를 악물고 일을 하시는데 고객을 지켜주는 데 있어서는 아주 허술했다라는 말 피할 수 없을 것 같습니다. SKT, 롯데카드, KT 이번에 쿠팡이 3300만 명이 넘죠. 우리나라 경제 인구가 지금 들어가 보시면요. 대략적으로 경제활동 인구를 2969만 8천 명이라고 합니다. 15세 이상 수입이 있거나 일을 하고 있는 사람들을 말하고 있는데 이 사람들보다 많은 숫자예요. 그럼 도대체 얼마나 털렸다라는 얘기입니까? 정말 걱정이네요. 철저하게 팩트 체크하고요. 주변에 얘기하고 뭐랄까 검증해야 될 것 같죠.
◇ 에어 : 믿음은 감정이 아니라 ‘검증’에서 오는 법이죠. 불안해만 할 게 아니라, 지금 내 정보가 얼마나 위험한 상태인지 냉철하게 ‘팩트 체크’하는 게 방어의 첫걸음입니다.
◆ 김우성 : 네 저희가 잠시 후에 관련 전문가죠. 가천대학교 법학과 최경진 교수와 인터뷰에서 어떤 부분들이 문제고 어떤 부분들을 해법으로 찾아야 되는지도 인터뷰를 통해서 전해드리겠습니다만, 다시 한 번 여러분 반복적으로 말씀드릴게요. 지금은 개인 정보를 절대 믿을 수 없습니다. 그런데 AI를 활용하고 개인 정보를 활용해서 사기 범행을 생각하는 사람들이 많잖아요. 캄보디아만 해도 어마어마한 조직, 공장을 저리 가라 할 정도로 큰 규모로 그렇게 납치를 해서 사람들을 개인 정보를 이용해서 사기 범죄를 저지르고 있습니다. 범죄의 수법이 더 교묘해지고 있기 때문에 철저하게 확인하고 조심하라는 말씀 계속 반복해서 드리네요.
*
◆ 김우성PD(이하 김우성) : YTN 라디오 오늘의 메인 토크 시간, 온마이크 시간입니다. 정말 많은 국민들이 충격에 빠져 있고요. 대통령까지도 언급했던 사건입니다. 쿠팡의 개인정보 유출 내, 집 열쇠요 안방 열쇠를 남의 손에 맡긴 격일 수도 있고요. 지금 자기 집 현관 문 앞에 가족들의 이름과 취향 나이까지 다 적어놨다고 생각해 보십시오. 섬뜩하지 않습니까? 이런 일이 지금 벌어졌습니다. 돈을 벌 때는 열심히 신나게 편리함을 강조하다가 정말 중요한 부분은 지켜지지 않은 상황입니다. 오늘 온마이크 시간에 한국인공지능법학회장을 맡고 계시죠. 가천대 법학과 최경진 교수님 연결해서 이번 사태에 대해서 더 깊이 들어보겠습니다. 교수님 안녕하십니까?
◇ 최경진 가천대학교 법학과 교수 (이하 최경진) : 네 안녕하십니까?
◆ 김우성 : 예전에도 저희가 대규모 유출 사건이 있었는데요. 3370만 개 이거 그냥 전 국민 다 털린 것 아닌가 이런 말들이 있던데 어떻게 보십니까?
◇ 최경진 : 올해 10월 기준으로 우리 경제활동 인구가 한 2900만 명 정도 되니까 상 경제활동 인구보다 더 많이 유출된 것이 맞죠?
◆ 김우성 : 쇼핑몰이라든가 어떤 결제를 해서 물건을 사는 유통업체의 개인 정보 유출 어떤 의미, 어떤 차이가 있을까요? 일반적인 것 보다요.
◇ 최경진 : 이번에 유출된 정보 유형을 보면 고객 이름과 그다음에 이메일 주소, 전화번호 그리고 주소록 같은 것들이 있거든요. 그리고 언론상에 보면 이 확인되지는 않은 것 같기는 한데, 출입구 같은 데 출입 비밀번호 같은 것들도 포함돼 있다라고 하는 것들이 많이 있는데 이렇게 되면 사람의 일상에 영향을 받을 수가 있거든요. 과거에 이메일 주소만 나갔다고 하면 우리가 스팸 메일 받는 정도에 그칠 수 있는데 만약에 전화번호나 아니면 배송 취소로까지 만약에 오남용 된다고 하면 그러면 이게 어떤 2차적인 범죄의 그런 피해 대상이 될 수도 있을 것 같습니다.
◆ 김우성 : 예. 어디에 지금 블로그라든지 기사들을 보니까요. 보이스피싱 조직이 이런 개인 정보를 획득하는 데 혈안이 돼 있다고 하더라고요. AI를 활용해서 아주 치밀하게 사기라든지 내지는 범죄를 할 수 있다고 하는데 맞나요?
◇ 최경진 : 최근에는 AI 기술이 좋아져가지고요. 과거랑 다르게 목소리 일부만 가지고도 사칭을 할 수 있고 쉽게 속일 수 있거든요. 그렇기 때문에 만약에 이러한 전화번호나 특히나 배송지 주소록 같은 경우는 아무래도 지인일 경우가 많지 않습니까? 그러면 그 지인한테 이 주소록을 활용 남용을 해 가지고 연락을 해서 마치 지인인 것처럼 사칭을 할 수 있는 가능성이 분명히 있긴 합니다. 이 데이터가 이 사안의 중요한 판단 요소 중에 하나일 것 같은데 만약에 실제로 데이터를 가지고 나간 범죄자의 손에서 어디까지 갔는지가 굉장히 중요한 핵심일 것 같습니다.
◆ 김우성 : 정말 전 국민입니다. 여기에는 여야 할 것 없이요. 정보기관원들의 가족들도 들어 있을 수 있고요. 저는 저희 부모님께 가끔 이 쿠팡으로 물품을 보내드릴 때 누구누구 어머니 누구누구 아버지 이렇게 제가 호칭을 붙여서 보내거든요. 그러면 저희 어머니한테 “아드님이 보내는데요.”라고 해서 사기를 칠 수 있으니까 ‘이건 정말 무섭다’라는 생각인데 자, 원인으로 가보겠습니다. 북한이냐, 국제 해킹 그룹이냐, 보이스피싱 조직이냐 말이 많았는데 퇴사자로 나왔어요. 이거 뭡니까?
◇ 최경진 : 아 이게 참 기존에랑 다른 건데요. 이게 퇴사한 외국 국적 개발자가 쿠팡 내에서의 인증 취약점을 알고 있었던 것이 아닌가라고 지금 정부나 관계자들이 추정하고 있는 것 같습니다. 이 공격자 같은 경우에 지금 쿠팡 내부에서 보안 인증 키 개발자로 알려지고 있는데 만약에 그런 인증키 개발자 같은 경우에는 쿠팡 서버가 어떤 보안 취약점이 있는지를 알 수도 있고요. 그러다 보니까 이것을 악용을 해서 정상적인 로그인 절차 없이도 가지고 있는 보안 키를 가지고 실제로 인증용 토큰이라고 하는 게 있거든요. 보통 우리가 접속을 할 때 인증용 토큰 같은 것을 가지고 접속을 할 수 있는데 이 인증 토큰을 생성을 해서 마치 우리가 전자서명 은행 들어갈 때 전자 서명하는 것처럼 그 인증용 토큰을 통해서 접속을 해서 아마 데이터를 가지고 나간 거 아닌가라는 생각을 하고 있습니다. 그렇게 우리 현안 질의라든가 는 관계자들이 이렇게 말을 하고 있는 거죠.
◆ 김우성 : 예 정말 황당한데 어떤 분들 저에게 청취자가 문자를 보내주셨는데요. “아니 나는 쿠팡 3년 전에 탈퇴했는데 유출됐다라고 나한테 안내 문자가 왔더라.” 이것도 황당하거든요.
◇ 최경진 : 이게 여러 사업자들은 어려운 점이 있는데 우리 개인정보보호법에 보면 21조에서 개인정보 파기 규정이 있습니다. 여기 보면 원칙적으로는 보유 기간이 다 됐거나 아니면 처리 목적 달성했거나 같은 경우에는 기본적으로 개인 정보가 필요 없으면 파기하는 게 원칙이긴 합니다. 그런데 예외적으로 다른 법령에 따라서 보존해야 될 경우에는 불가피하게 보존을 하게 되거든요. 아마 이 경우에도 쿠팡은 거래 기록 같은 것들을 전자상거래 소비자 보호법에 따라서 아마 5년 정도는 보관해야 되기 때문에, 그에 따라서 보관하는 중에 아마도 어차피 인증을 인증 키를 통해 가지고 데이터를 가지고 나왔기 때문에 활성회원뿐만 아니라 이런 비활성회원까지도 아마 가지고 나간 게 아닌가 싶습니다.
◆ 김우성 : 예. 인증 키라는 것도 그렇고 저희 같으면은 주요 국민의 정보가 들어 있으면은 매일매일 관계자가 확인을 해도 모자랄 판에 앞서 토큰 얘기도 해 주셨고요. 이 보안 키 관계자가 “오래된 것 가지고도 다 개인 정보를 열어볼 수 있었다.”라는 것도 황당합니다. 쿠팡의 책임이라고 물을 만한 게 지금 여러 가지가 있습니다. 퇴사자가 한 것도 그렇고 노출과 유출로 나눠서 봐야 된다라는 것도 있고요. 쿠팡의 책임 범위에 대해서 설명해 주시죠.
◇ 최경진 : 일단 이번 사태의 구체적인 행위 위반 행위가 뭔지를 봐야 될 것 같은데요. 저도 유출 통지를 받았는데 거기 처음 받았을 때 노출이라고 되어 있더라고요. 그래서 저는 법을 아니까 ‘아 이게 사안이 심각한 건 아닌가 보다.’라고 처음에 느꼈었거든요. 왜냐하면 노출이라고 하면 유출과 엄격하게 구분될 수 있는 어떤 정의가 있는 건 아니지만, 통상 법상 노출이라고 하면 법의 하나의 조문에만 나타나고 있는데요. 개인정보 처리자, 그러니까 사업자가 관리 통제가 가능한 상태에서 관리자의 부주의로 인해서 일시적으로 공중에서 이렇게 일반인들이 접근할 수 있는 상태가 된 걸 노출이라고 합니다. 예를 들면 홈페이지를 업데이트 하다 보면 실수로 워낙 많은 그 코드를 건드리다 보니까 실제로 일부 정보가 잠깐 홈페이지에 노출되는 경우가 있거든요. 이런 것들이 노출입니다. 그래서 이런 노출에 대해서는 우리 법이 그렇게 심각하게 바라보지 않고 있거든요. 그런데 반면에 유출의 경우에는 우리 법상 대표적인 개인정보 침해 유형이고 유출이 이루어졌을 때 그동안에 많은 사안에서 아주 고의 과징금이 부과된 사안이거든요. 유출이라는 거는 그래서 개인정보 처리자인 사업자의 관리 통제를 벗어난 상태가 됩니다. 그래서 이걸 회수하거나, 하는 것이 쉽지 않게 되는 거죠. 그리고 더 나아가서는 이게 시중에 유통되게 되면 그로 인해서 2차적인 피해도 심해질 수 있는 거고요. 이 말씀하신 것처럼 어떤 책임이냐 하면 크게 두 가지가 있을 것 같은데, 하나는 실제로 그 사업자한테 제재를 가하는 게 하나가 있을 수 있고요. 또 하나는 피해자인 어떤 정보 주체나 소비자에게 피해 구제를 하는 방안이 있을 것 같습니다. 우선 앞부분의 경우에는 과징금이나 과태료가 가능할 것 같고요. 피해 구제 관점에서는 손해배상 청구가 가능할 것 같습니다.
◆ 김우성 : 이게 너무 반복되는 문제여서요. 예전에 인터파크 사태 때도 그렇고 여러 회사들이 이런 문제를 겪었습니다만, “솜방망이 처벌이어서 거기에다가 계속 투자를 안 하는 것 아니냐?” 이런 빈축을 사고 있거든요. 어떻게 판단하십니까? 교수님.
◇ 최경진 : 쿠팡 같은 경우에는 얼마 전에 실제로 과징금도 부과를 받았고 했기 때문에 ISMS-P도 벌써 갱신을 하고 해서 어 비교적 잘하고 있는 것으로 이해를 하고 있었거든요. 그래서 아마 더 많은 충격이 있지 않을까 싶습니다.
◆ 김우성 : 오히려 고객들한테 우리는 절대로 정보 보안이 투철해서 매일 관리를 하고 있어서 뚫리지 않습니다. 이런 게 ‘이제는 세일즈 포인트가 될 지경이다.’라는 생각이 나올 정도인데 이거는 저희 영역입니다. 언론 커뮤니케이션 영역인데 과거에 “타이레놀” 사태 때도 그렇고 괜히 축소하고 가리려고 하다가 문제가 더 커지는데 '노출'이라고 의도적으로 썼다고 보십니까? 아니면 이게 '유출'이라고 말하는 것과 '노출'이라고 말하는 것에 책임 때문에 본인들이 법적으로 전략을 짜서 쓴 걸까요? 어떻게 판단해야 됩니까? 왜냐하면 책임을 줄이기 위해서 이렇게 썼다고 하면 국민적 분노가 더 커질 것 같거든요.
◇ 최경진 : 그럴 수도 있을 것 같은데요. 그런데 한편으로는 이게 만약에 사실이 아닌 게 밝혀졌을 때의 후폭풍이 크기 때문에 아마 노출이라고 처음 썼던 거는 내부적으로도 ‘내부자였었기 때문에 노출에 불과한 것 아닌가’라고 판단했을 수도 있을 것 같습니다. 만약에 이게 그동안에 여러 사건 올해만 발생한 사건만 보더라도 유출된 정보의 범위가 커짐에 따라 가지고 국민적인 비난과 관심도가 높아졌거든요. 그래서 그런 학습이 된 상태에서 이거를 막 전략적으로 가리려고 했다라고 보여지지는 않고요. 다만 이게 조사하는 과정에서 굉장히 신속하게 조사가 이루어지는 과정에서 빨리 통지를 해야 되다 보니까 아마 처음에는 내부자였었기 때문에 아마 노출이라는 표현을 썼지 않을까라는 그런 추측을 할 수 있을 것 같습니다.
◆ 김우성 : 예 여러분 문이 우연히 실수로 열려 있었고 그 문 열린 틈으로 가족들의 사진이 보였다는 것과 누가 문을 열고 들어와서 가족 사진을 가져갔다는 다르죠. 여러분들의 판단을 한번 기다려 보고요. 이거 제가 비유적으로 쓴 표현이라 정확하지는 않습니다만 쿠팡 창업자 임원들이 사태 발생 직후에 주식을 현금화했다 이거는 다른 차원의 법적 책임을 져야 될 부분들도 있습니다. 이 임원들은 책임의 의무가 있잖아요. 특히 이사진들은요. 어떻게 보십니까?
◇ 최경진 : 제가 상법상 이사들의 책임에 관한 전문가는 아니지만 이러한 유출 사고 내지는 노출 사고를 인식한 이후에 만약에 정말로 그걸 인식한 상태에서 대규모로 주식을 팔았다라는 게 정말 확인된다면 그거는 정말 굉장히 큰 위법 행위라고 볼 수 있을 것 같습니다.
◆ 김우성 : 예 아직 정확한 관계를 파악하고 질문을 교수님과 나누는 게 아니라는 점 청취자 여러분들과 관계자 여러분들께 다시 한 번 밝혀드리지만, 어쨌든 이 부분도 지금 석연치 않기 때문에 드러나야 됩니다. 책임을 지고 있는데 그 책임을 배신하면 엄청난 처벌을 받거든요. 그런 부분들이 아니길 저희도 아니었으면 좋겠는데 한번 이 밝혀져야 될 것 같고요.교수님 이게 이 정도 규모면 엄청나게 검은 돈이 오고 가거나 “비트코인을 얼마를 넘겨라.” 여러 가지 이런 게 있을 법도 한데 이번 사안이 특이한 것 중에 하나가 이 정보를 유출한 범죄자의 요구 사항이 없었습니다. 이건 뭘까요?
◇ 최경진 : 저도 굉장히 의아한데요. 보통은 시간을 가지고 일단은 협박을 한 다음에 본인이 정말 데이터 액세스할 수 있고 부정적으로 데이터를 획득했다라는 것을 과시하면서 오히려 협상을 해 가는 과정에서 나중에 돈을 요구할 수도 있긴 한데, 그러기에는 상당히 시간이 흘렀거든요. 그러면 이런 비정상적인 어떤 부정 접근으로 인한 개인정보 취득의 이유가 뭘까를 고민해 보면 본인이 해킹 실력 과시하는 방법도 하나 있지만 이건 그게 아닌 것 같고요. 또는 회사에 대한 불만으로 인한 보복일 수도 있을 것 같고 감정적인 요소겠죠. 또는 어쩌면 쿠팡 기업에 대한 흔들기도 있을 수 있지 않을까.
◆ 김우성 : 다양한 시나리오가 가능하네요.
◇ 최경진 : 또 한편으로는 저는 이렇게까지 갈 거라고 생각하지는 않지만 국가 사이버 안보 이슈 그러니까 국가 안보 관점에서 보면 쿠팡은 우리나라 국민들의 기본 생활에 굉장히 큰 영향을 미치는 기업이잖아요. 물류 개인, 소비자 물류를 엄청나게 차지하고 있고 이런 기업을 흔들려는 거라고 한다면 이건 정말 더 큰 국가 안보적인 이슈까지도 올라갈 수 있을 것 같은데, 이게 어떤 건지를 정부가 명백하게 밝혀야 될 것 같습니다.
◆ 김우성 : 맞습니다. 교수님이 제일 중요한 얘기를 해 주셨습니다. 지금 저희가 한국 인공지능법학회장 가천대 법학과 최경진 교수님과 인터뷰 중인데요. 국가 안보적 차원의 문제죠. 3천 만 명이 넘는 3370만 명의 국민의 정보가 넘어갔는데 제일 걱정되는 게 지금 교수님 말씀하신 부분이거든요. 요즘 전쟁이 미사일 쏘고, 총 쏘고 하기보다는 그런 거 없이도 그냥 그 나라를 혼란에 빠뜨리는 것만으로도 어떤 안보에 취약함을 만들잖아요. 그러니까 온 국민이 어떻게 유통하고 뭘 먹고 사는지를 다 보게 됐는데 앞서 교수님이 한번 언급해 주셨습니다만 수사를 통해서 이게 어느 단체 어디로 넘어갔는지 밝혀낼 수 있을까요? 이거 어떻게 될까요?
◇ 최경진 : 이거는 경찰에 이미 수사 요청을 했으니까 경찰과 개인정보보호위원회나 과기부나 관계 기관들이 공조를 해서 포렌식도 하고 실제로 수사를 하면 이거는 이미 과거의 내부자였던 자의 소행이라고 추정까지 나온 상태이기 때문에 충분히 가능하지 않을까, 기존 해커랑은 다를 것 같습니다.
◆ 김우성 : 예 어디로 넘어갔는지, 내 쿠팡 이용 정보 주소지, 공동 현관 비밀번호 이런 게 어디까지 가 있는지 빨리 수사 기관에서 밝혀내서 국민들을 안심하게 해야 될 것 같고요. 처벌이 너무 약해서 이 보안 문제에 투자 안 하는 거 아니냐 이런 지적이 여러 번 나옵니다. 과징금을 조 단위로 해야 된다 이런 주장도 있던데 어떻게 보십니까?
◇ 최경진 : 잘못이 밝혀진다면 그에 따른 책임은 당연히 져야 될 것 같고요. 그리고 과징금 같은 경우에는 기존에 이미 쿠팡 같은 경우에 제가 알기로는 상당히 투자를 해왔거든요. 그래서 그럼에도 불구하고 이런 사건이 나서 도대체 부터 잘못됐는지를 그 원인을 명확하게 밝혀야 될 것 같고, 특히나 최근에 보도에 나오는 것처럼 정말 기본적인 요소 특히나 자산 관리라든가 인사 관리가 정보보호 관점에서 충분히 이루어지지 않았다라는 것이 밝혀진다면 그거는 정말 기본부터 다시 바로 세워야 될 것 같고요. 처벌 관점에서는 이러한 사고들이 계속 나오고 있어서 과징금을 많이 물리는 것도 저는 하나의 방법일 수 있겠지만, 또 다른 한편으로는 정보 주체들한테 오히려 이 실제 피해 배상을 더 실효성 있게 해주는 것이 필요하지 않을까 싶고 또 한편으로는 이러한 어떤 대중 요법만이 아니라 쿠팡만이 아니라 지금 모든 사업자 개인 정보 처리자가 똑같은 환경에 있을 거라고 보거든요. 우리나라의 어떤 정보 보호나 개인 정보에 대한 감수성이 낮다는 게 문제입니다. 그래서 그러한 문화의 전환이라든가 인식 전환 그리고 실제로 개인정보 처리자가 기본을 바로 세울 수 있게끔 보다 효율적인 투자를 할 수 있게끔 유도하는 것 이런 것들을 함께 가야지 되지, 특정 행위에 대해서 그냥 강하게 처벌한다라는 것만 가지고는 제가 보기에는 디지털 전환 내지는 AI 전환 시대에 아주 일부의 어떤 대중적 요법에 불과할 것 같습니다.
◆ 김우성 : 예 맞습니다. 진짜 뭐랄까요? 여러분 편리함 뒤에는 이런 위험이 있습니다. 생체 인식으로 쉽게 쉽게 결제하고 들어가고 다 할 수 있지만 그만큼의 위험이 있기 때문에 역시 투자도 해야 되고 문화도 바뀌어야 되는데, 집단 소송 얘기를 해 주셨잖아요. 지금 20만 명 넘게 일단 카페에 가입했다고 하는데 저희가 얼마 전에도 통신사의 정보 유출 사태도 있었고요. 그럴 때마다 이 집단 소송을 해도 해외 사례와 달리 뭐랄까요 그렇게 그 피해를 입으신 만큼의 정당한 보상이 되었나 하는 수준으로 끝난 경우가 종종 있어요. 어떻게 보십니까?
◇ 최경진 : 아무래도 손해가 입증이 돼야 되는데 개인 정보가 유출되었다라는 것만으로 즉각적으로 손해가 증명되지는 않거든요. 보통은 그래서 정신적 피해에 대한 위자료 정도일 텐데 그래서 보통은 10만 원에서 30만 원 사이를 지급하는 게 조정이라든가 소송에서 일반적인 그동안의 사례였던 것 같습니다.그런데 우리가 되새겨야 할 거는 이 정보가 점점 많이 유출되고 많이 통합되어지면 그로 인해서 개인의 어떤 사적인 영역이 좁아질 수밖에 없고 실제 개인의 어떤 불편함이 더 가중될 수도 있고, 더 나아가서는 개인에 대한 직접적인 피해가 발생할 수 있다라는 인식을 우리가 해야 될 것 같습니다. 그래서 손해배상을 당연히 해 주는 건 필요할 수도 있겠지만 책임을 진다는 차원에서요. 그런데 말씀드린 것처럼 실제로 소비자가 안심하고 이런 서비스를 이용할 수 있게끔 만드는 환경을 만드는 게 저는 최우선이 돼야 될 것 같습니다.
◆ 김우성 : 예 맞습니다. 민간 혹은 소비자들로 구성된 정보보호위원회 이런 거라도 별도로 만드시고요. 점검 받으십시오. 국민들한테 보여주시고 “이만큼 안전합니다.”라고 보여주지 않으면 이제는 그 업체가 생존하기 힘든 상황이 돼야 되지 않을까. 문화라는 게 자발적으로 바뀌면 제일 좋지만 안 될 수도 있으니까요. 끝으로 교수님 여쭤보고 싶은 게 있습니다. 결국은 이런 일이 반복되면 우리 국민의 어떤 정보 보호 수준이라는 게 어떤 국가 경쟁력 차원에서도 너무 낮잖아요. AI 시대지 않습니까? 결국은 굉장히 이 정보를 활용해서 치명적인 앞서 안보 얘기까지 나왔었습니다만, 국가적 차원에서도 이걸 저희가 극복해야 될 과제인 것 같습니다. 방향성 앞서 문화 이런 거 얘기해 주셨지만 AI 시대에 맞춰서 어떤 방향 대안 방법 가능할까요?
◇ 최경진 : 제가 보기에는 AI 디지털 대전환 시대의 보안 사고나 개인정보 침해 위협은 계속 증가될 수밖에 없을 것 같습니다. 그리고 100% 예방은 불가능합니다. 그렇지만 그럼에도 불구하고 우리는 모든 것을 다 신뢰할 수 없다라는 제로 트러스트 철학이 있거든요. 이런 제로 트러스트 접근 방식에 따라서 정말 기본부터 하나씩 하나씩 챙길 필요가 있을 것 같고요. 그래서 가장 기본적인 인사 관리라든가 또는 자산 관리 같은 것에서 우리가 소홀하면 이번 사태 같은 것들이 발생하기 때문에 그러한 기본을 되살리는 제도 개선과 정책의 추진이 필요하고 나아가서 또 하나 우리가 관심을 가져야 될 게 사고 발생했을 때 회복 탄력성이 중요합니다. 그 회복 탄력성을 높이는 쪽으로 제도도 만들어야 되고요.
◇ 최경진 : 그리고 무엇보다 정보 보호 체계나 개인정보 보호 체계를 이런 사고 날 때마다 조금씩 바꾸는 것이 아니라 AI 디지털 대전환 시대에 필요한 그러한 어떤 정보보호 체계는 무엇인지를 보다 긴밀하게 기본적인 걸 고민해 가지고 이게 법 제도에 있어서 내지는 정책에 있어서도 대전환이 필요할 것 같습니다.
◆ 김우성 : 네. 정책 정치의 대전환 정말 중요한 부분인 것 같습니다. 특히 AI 시대에 AI를 활용해서도 보호할 수 있는데요. 그때 지켜야 될 법적인 개인 정보와 보호해야 될 대상 주체가 뭔지도 다시 한 번 리셋해야 될 것 같고 제로 트러스트의 개념에서 모든 부분을 봐야겠다라는 생각도 드네요. 교수님 말씀 감사드립니다.
◇ 최경진 : 네 감사합니다.
◆ 김우성 : 네 지금까지 한국인공지능법학회장과 인공지능 데이터 정책 연구 센터장 맡고 계시는 가천대 최경진 교수였습니다.
YTN 김세령 (newsfm0945@ytnradio.kr)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
□ 방송일시 : 2025년 12월 03일 (수)
□ 진행 : AI챗봇 “에어”
□ 보조진행: 김우성 PD
□ 출연 : 최경진 가천대학교 법학과 교수
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
◆ 김우성 : 네 2025년 12월 3일 화요일입니다. 비상계엄이 지난 지 1주년이 된 날이고요. 저는 인공지능 진행자 AI 에어와 함께 방송을 만들고 있는 인간 천연 지능 진행자 김우성입니다. 12월 3일 밤, 저도 밤 늦게 회사에 부랴부랴 들어와서 새벽까지 퇴근하지 못했던 기억이 나네요. 자 편리함에 취해 문 잠그는 법을 잊었다. 좋은 것 편안한 것 필요한 것 뒤에는 항상 이렇게 위험한 것들이 있습니다. 민주주의도 마찬가지죠. 모두가 눈 뜨고 지키지 않으면 뺏기기 쉽습니다. 민주주의뿐만 아니라 정말 중요한 개인 정보 보안도 마찬가지인 것 같아요. 주변의 부모님들께 친구 지인에게 쿠팡 통해서 선물 보내시거나 필요한 물건 보내시는 분들 많죠. 저도 그렇거든요. 저희 부모님께 이 서비스 이용해서 뭔가 보내드리고 했었는데 주변에 꼭 전화하십시오. 상한 전화가 오거나 심지어 가족이나 지인의 이름을 사칭해도 한 번 더 확인하라고 해야 됩니다. 그래야 될 상황이 된 게 바로 지금 이 사태죠. 정말 에어가 얘기한 그대로 편리함에 취해서 문을 잠그는 방법을 잊었다. 그런데 우리가 열어준 건 아닙니다. 쿠팡이 관리했어야 되는 거거든요. 자, 우리의 보안 제방이 이미 곳곳에 터져 있네요.
◇ 에어 : 맞습니다. PD님 표현대로 제방이 터진 수준을 넘어, 지금은 ‘개인정보 유출 팬데믹’이라고 불러야 할 상황입니다. 제가 온라인상의 데이터를 분석해보니, 지금 사람들의 감정은 '공포' 그 자체더군요. "내 정보가 이미 공공재가 된 것 아니냐", "이제 누굴 믿어야 하냐"는 한탄이 쏟아지고 있습니다. 이건 단순한 사고가 아니라, 우리 사회를 지탱하는 '신뢰 시스템' 자체가 붕괴되고 있다는 강력한 경고음입니다.
◆ 김우성 : 네 그렇게 공개된 개인 정보 때문에 제가 지금 문자로 '누구누구님이 주문하신 무슨 무슨 물건이 왔습니다. 링크 눌러주세요.' 누르지 말라고 말씀드린 이유가 바로 이 신뢰가 무너졌다는 얘기입니다. 이제 부모님도요, 이게 자녀가 필요해서 보낸 건지 보이스피싱이나 스미싱을 통해서 사기를 치는 건지 어떻게 알 수 있습니까? 여기에 대해서 정말 많은 사람들이 분노하고 있고요. 더욱이 이런 개인 정보들이 더 필요한 때가 바로 AI 시대거든요. AI는 정보를 필요로 합니다. 그 정보를 바탕으로 우리에게 인간처럼 마치 정보를 정리해서 전달해 주는데 그 허술함도 걱정해야 될 시기가 됐습니다. 자 이렇게 팬데믹이라는 말 들으니까 정말 싫죠. 정말 코로나도 어떻게 지나왔는지 모르겠는데 개인 정보 팬데믹이라니 이 표현 자체도 정말 몸서리치게 만드는데 특히 올해 이런 사고가 많았기 때문인 것 같아요.
◇ 에어 : 네 그렇습니다. 가장 먼저 최근 있었던 SK텔레콤입니다. 무려 2천3백만 명의 정보가 유출돼서, 올해 역대 최대인 1,300억 원대 과징금 처분을 받지 않았습니까? 국민 절반의 정보가 털린 셈이죠. 그뿐만이 아닙니다. 불과 두 달 전 롯데카드는 처음엔 "유출 없다"고 큰소리치더니, 2주 뒤에 카드 뒷면 CVC 번호까지 다 털렸다고 말을 바꿨습니다. 통신사 KT는 더 영화 같습니다. 해킹 증거가 든 서버를 아예 폐기했다는 의혹으로 지금 경찰 수사를 받고 있죠.
◆ 김우성 : 네. 뭐 이분들 돈 벌 때, 고객들한테 돈 받아갈 때는 정말 이를 악물고 일을 하시는데 고객을 지켜주는 데 있어서는 아주 허술했다라는 말 피할 수 없을 것 같습니다. SKT, 롯데카드, KT 이번에 쿠팡이 3300만 명이 넘죠. 우리나라 경제 인구가 지금 들어가 보시면요. 대략적으로 경제활동 인구를 2969만 8천 명이라고 합니다. 15세 이상 수입이 있거나 일을 하고 있는 사람들을 말하고 있는데 이 사람들보다 많은 숫자예요. 그럼 도대체 얼마나 털렸다라는 얘기입니까? 정말 걱정이네요. 철저하게 팩트 체크하고요. 주변에 얘기하고 뭐랄까 검증해야 될 것 같죠.
◇ 에어 : 믿음은 감정이 아니라 ‘검증’에서 오는 법이죠. 불안해만 할 게 아니라, 지금 내 정보가 얼마나 위험한 상태인지 냉철하게 ‘팩트 체크’하는 게 방어의 첫걸음입니다.
◆ 김우성 : 네 저희가 잠시 후에 관련 전문가죠. 가천대학교 법학과 최경진 교수와 인터뷰에서 어떤 부분들이 문제고 어떤 부분들을 해법으로 찾아야 되는지도 인터뷰를 통해서 전해드리겠습니다만, 다시 한 번 여러분 반복적으로 말씀드릴게요. 지금은 개인 정보를 절대 믿을 수 없습니다. 그런데 AI를 활용하고 개인 정보를 활용해서 사기 범행을 생각하는 사람들이 많잖아요. 캄보디아만 해도 어마어마한 조직, 공장을 저리 가라 할 정도로 큰 규모로 그렇게 납치를 해서 사람들을 개인 정보를 이용해서 사기 범죄를 저지르고 있습니다. 범죄의 수법이 더 교묘해지고 있기 때문에 철저하게 확인하고 조심하라는 말씀 계속 반복해서 드리네요.
*
◆ 김우성PD(이하 김우성) : YTN 라디오 오늘의 메인 토크 시간, 온마이크 시간입니다. 정말 많은 국민들이 충격에 빠져 있고요. 대통령까지도 언급했던 사건입니다. 쿠팡의 개인정보 유출 내, 집 열쇠요 안방 열쇠를 남의 손에 맡긴 격일 수도 있고요. 지금 자기 집 현관 문 앞에 가족들의 이름과 취향 나이까지 다 적어놨다고 생각해 보십시오. 섬뜩하지 않습니까? 이런 일이 지금 벌어졌습니다. 돈을 벌 때는 열심히 신나게 편리함을 강조하다가 정말 중요한 부분은 지켜지지 않은 상황입니다. 오늘 온마이크 시간에 한국인공지능법학회장을 맡고 계시죠. 가천대 법학과 최경진 교수님 연결해서 이번 사태에 대해서 더 깊이 들어보겠습니다. 교수님 안녕하십니까?
◇ 최경진 가천대학교 법학과 교수 (이하 최경진) : 네 안녕하십니까?
◆ 김우성 : 예전에도 저희가 대규모 유출 사건이 있었는데요. 3370만 개 이거 그냥 전 국민 다 털린 것 아닌가 이런 말들이 있던데 어떻게 보십니까?
◇ 최경진 : 올해 10월 기준으로 우리 경제활동 인구가 한 2900만 명 정도 되니까 상 경제활동 인구보다 더 많이 유출된 것이 맞죠?
◆ 김우성 : 쇼핑몰이라든가 어떤 결제를 해서 물건을 사는 유통업체의 개인 정보 유출 어떤 의미, 어떤 차이가 있을까요? 일반적인 것 보다요.
◇ 최경진 : 이번에 유출된 정보 유형을 보면 고객 이름과 그다음에 이메일 주소, 전화번호 그리고 주소록 같은 것들이 있거든요. 그리고 언론상에 보면 이 확인되지는 않은 것 같기는 한데, 출입구 같은 데 출입 비밀번호 같은 것들도 포함돼 있다라고 하는 것들이 많이 있는데 이렇게 되면 사람의 일상에 영향을 받을 수가 있거든요. 과거에 이메일 주소만 나갔다고 하면 우리가 스팸 메일 받는 정도에 그칠 수 있는데 만약에 전화번호나 아니면 배송 취소로까지 만약에 오남용 된다고 하면 그러면 이게 어떤 2차적인 범죄의 그런 피해 대상이 될 수도 있을 것 같습니다.
◆ 김우성 : 예. 어디에 지금 블로그라든지 기사들을 보니까요. 보이스피싱 조직이 이런 개인 정보를 획득하는 데 혈안이 돼 있다고 하더라고요. AI를 활용해서 아주 치밀하게 사기라든지 내지는 범죄를 할 수 있다고 하는데 맞나요?
◇ 최경진 : 최근에는 AI 기술이 좋아져가지고요. 과거랑 다르게 목소리 일부만 가지고도 사칭을 할 수 있고 쉽게 속일 수 있거든요. 그렇기 때문에 만약에 이러한 전화번호나 특히나 배송지 주소록 같은 경우는 아무래도 지인일 경우가 많지 않습니까? 그러면 그 지인한테 이 주소록을 활용 남용을 해 가지고 연락을 해서 마치 지인인 것처럼 사칭을 할 수 있는 가능성이 분명히 있긴 합니다. 이 데이터가 이 사안의 중요한 판단 요소 중에 하나일 것 같은데 만약에 실제로 데이터를 가지고 나간 범죄자의 손에서 어디까지 갔는지가 굉장히 중요한 핵심일 것 같습니다.
◆ 김우성 : 정말 전 국민입니다. 여기에는 여야 할 것 없이요. 정보기관원들의 가족들도 들어 있을 수 있고요. 저는 저희 부모님께 가끔 이 쿠팡으로 물품을 보내드릴 때 누구누구 어머니 누구누구 아버지 이렇게 제가 호칭을 붙여서 보내거든요. 그러면 저희 어머니한테 “아드님이 보내는데요.”라고 해서 사기를 칠 수 있으니까 ‘이건 정말 무섭다’라는 생각인데 자, 원인으로 가보겠습니다. 북한이냐, 국제 해킹 그룹이냐, 보이스피싱 조직이냐 말이 많았는데 퇴사자로 나왔어요. 이거 뭡니까?
◇ 최경진 : 아 이게 참 기존에랑 다른 건데요. 이게 퇴사한 외국 국적 개발자가 쿠팡 내에서의 인증 취약점을 알고 있었던 것이 아닌가라고 지금 정부나 관계자들이 추정하고 있는 것 같습니다. 이 공격자 같은 경우에 지금 쿠팡 내부에서 보안 인증 키 개발자로 알려지고 있는데 만약에 그런 인증키 개발자 같은 경우에는 쿠팡 서버가 어떤 보안 취약점이 있는지를 알 수도 있고요. 그러다 보니까 이것을 악용을 해서 정상적인 로그인 절차 없이도 가지고 있는 보안 키를 가지고 실제로 인증용 토큰이라고 하는 게 있거든요. 보통 우리가 접속을 할 때 인증용 토큰 같은 것을 가지고 접속을 할 수 있는데 이 인증 토큰을 생성을 해서 마치 우리가 전자서명 은행 들어갈 때 전자 서명하는 것처럼 그 인증용 토큰을 통해서 접속을 해서 아마 데이터를 가지고 나간 거 아닌가라는 생각을 하고 있습니다. 그렇게 우리 현안 질의라든가 는 관계자들이 이렇게 말을 하고 있는 거죠.
◆ 김우성 : 예 정말 황당한데 어떤 분들 저에게 청취자가 문자를 보내주셨는데요. “아니 나는 쿠팡 3년 전에 탈퇴했는데 유출됐다라고 나한테 안내 문자가 왔더라.” 이것도 황당하거든요.
◇ 최경진 : 이게 여러 사업자들은 어려운 점이 있는데 우리 개인정보보호법에 보면 21조에서 개인정보 파기 규정이 있습니다. 여기 보면 원칙적으로는 보유 기간이 다 됐거나 아니면 처리 목적 달성했거나 같은 경우에는 기본적으로 개인 정보가 필요 없으면 파기하는 게 원칙이긴 합니다. 그런데 예외적으로 다른 법령에 따라서 보존해야 될 경우에는 불가피하게 보존을 하게 되거든요. 아마 이 경우에도 쿠팡은 거래 기록 같은 것들을 전자상거래 소비자 보호법에 따라서 아마 5년 정도는 보관해야 되기 때문에, 그에 따라서 보관하는 중에 아마도 어차피 인증을 인증 키를 통해 가지고 데이터를 가지고 나왔기 때문에 활성회원뿐만 아니라 이런 비활성회원까지도 아마 가지고 나간 게 아닌가 싶습니다.
◆ 김우성 : 예. 인증 키라는 것도 그렇고 저희 같으면은 주요 국민의 정보가 들어 있으면은 매일매일 관계자가 확인을 해도 모자랄 판에 앞서 토큰 얘기도 해 주셨고요. 이 보안 키 관계자가 “오래된 것 가지고도 다 개인 정보를 열어볼 수 있었다.”라는 것도 황당합니다. 쿠팡의 책임이라고 물을 만한 게 지금 여러 가지가 있습니다. 퇴사자가 한 것도 그렇고 노출과 유출로 나눠서 봐야 된다라는 것도 있고요. 쿠팡의 책임 범위에 대해서 설명해 주시죠.
◇ 최경진 : 일단 이번 사태의 구체적인 행위 위반 행위가 뭔지를 봐야 될 것 같은데요. 저도 유출 통지를 받았는데 거기 처음 받았을 때 노출이라고 되어 있더라고요. 그래서 저는 법을 아니까 ‘아 이게 사안이 심각한 건 아닌가 보다.’라고 처음에 느꼈었거든요. 왜냐하면 노출이라고 하면 유출과 엄격하게 구분될 수 있는 어떤 정의가 있는 건 아니지만, 통상 법상 노출이라고 하면 법의 하나의 조문에만 나타나고 있는데요. 개인정보 처리자, 그러니까 사업자가 관리 통제가 가능한 상태에서 관리자의 부주의로 인해서 일시적으로 공중에서 이렇게 일반인들이 접근할 수 있는 상태가 된 걸 노출이라고 합니다. 예를 들면 홈페이지를 업데이트 하다 보면 실수로 워낙 많은 그 코드를 건드리다 보니까 실제로 일부 정보가 잠깐 홈페이지에 노출되는 경우가 있거든요. 이런 것들이 노출입니다. 그래서 이런 노출에 대해서는 우리 법이 그렇게 심각하게 바라보지 않고 있거든요. 그런데 반면에 유출의 경우에는 우리 법상 대표적인 개인정보 침해 유형이고 유출이 이루어졌을 때 그동안에 많은 사안에서 아주 고의 과징금이 부과된 사안이거든요. 유출이라는 거는 그래서 개인정보 처리자인 사업자의 관리 통제를 벗어난 상태가 됩니다. 그래서 이걸 회수하거나, 하는 것이 쉽지 않게 되는 거죠. 그리고 더 나아가서는 이게 시중에 유통되게 되면 그로 인해서 2차적인 피해도 심해질 수 있는 거고요. 이 말씀하신 것처럼 어떤 책임이냐 하면 크게 두 가지가 있을 것 같은데, 하나는 실제로 그 사업자한테 제재를 가하는 게 하나가 있을 수 있고요. 또 하나는 피해자인 어떤 정보 주체나 소비자에게 피해 구제를 하는 방안이 있을 것 같습니다. 우선 앞부분의 경우에는 과징금이나 과태료가 가능할 것 같고요. 피해 구제 관점에서는 손해배상 청구가 가능할 것 같습니다.
◆ 김우성 : 이게 너무 반복되는 문제여서요. 예전에 인터파크 사태 때도 그렇고 여러 회사들이 이런 문제를 겪었습니다만, “솜방망이 처벌이어서 거기에다가 계속 투자를 안 하는 것 아니냐?” 이런 빈축을 사고 있거든요. 어떻게 판단하십니까? 교수님.
◇ 최경진 : 쿠팡 같은 경우에는 얼마 전에 실제로 과징금도 부과를 받았고 했기 때문에 ISMS-P도 벌써 갱신을 하고 해서 어 비교적 잘하고 있는 것으로 이해를 하고 있었거든요. 그래서 아마 더 많은 충격이 있지 않을까 싶습니다.
◆ 김우성 : 오히려 고객들한테 우리는 절대로 정보 보안이 투철해서 매일 관리를 하고 있어서 뚫리지 않습니다. 이런 게 ‘이제는 세일즈 포인트가 될 지경이다.’라는 생각이 나올 정도인데 이거는 저희 영역입니다. 언론 커뮤니케이션 영역인데 과거에 “타이레놀” 사태 때도 그렇고 괜히 축소하고 가리려고 하다가 문제가 더 커지는데 '노출'이라고 의도적으로 썼다고 보십니까? 아니면 이게 '유출'이라고 말하는 것과 '노출'이라고 말하는 것에 책임 때문에 본인들이 법적으로 전략을 짜서 쓴 걸까요? 어떻게 판단해야 됩니까? 왜냐하면 책임을 줄이기 위해서 이렇게 썼다고 하면 국민적 분노가 더 커질 것 같거든요.
◇ 최경진 : 그럴 수도 있을 것 같은데요. 그런데 한편으로는 이게 만약에 사실이 아닌 게 밝혀졌을 때의 후폭풍이 크기 때문에 아마 노출이라고 처음 썼던 거는 내부적으로도 ‘내부자였었기 때문에 노출에 불과한 것 아닌가’라고 판단했을 수도 있을 것 같습니다. 만약에 이게 그동안에 여러 사건 올해만 발생한 사건만 보더라도 유출된 정보의 범위가 커짐에 따라 가지고 국민적인 비난과 관심도가 높아졌거든요. 그래서 그런 학습이 된 상태에서 이거를 막 전략적으로 가리려고 했다라고 보여지지는 않고요. 다만 이게 조사하는 과정에서 굉장히 신속하게 조사가 이루어지는 과정에서 빨리 통지를 해야 되다 보니까 아마 처음에는 내부자였었기 때문에 아마 노출이라는 표현을 썼지 않을까라는 그런 추측을 할 수 있을 것 같습니다.
◆ 김우성 : 예 여러분 문이 우연히 실수로 열려 있었고 그 문 열린 틈으로 가족들의 사진이 보였다는 것과 누가 문을 열고 들어와서 가족 사진을 가져갔다는 다르죠. 여러분들의 판단을 한번 기다려 보고요. 이거 제가 비유적으로 쓴 표현이라 정확하지는 않습니다만 쿠팡 창업자 임원들이 사태 발생 직후에 주식을 현금화했다 이거는 다른 차원의 법적 책임을 져야 될 부분들도 있습니다. 이 임원들은 책임의 의무가 있잖아요. 특히 이사진들은요. 어떻게 보십니까?
◇ 최경진 : 제가 상법상 이사들의 책임에 관한 전문가는 아니지만 이러한 유출 사고 내지는 노출 사고를 인식한 이후에 만약에 정말로 그걸 인식한 상태에서 대규모로 주식을 팔았다라는 게 정말 확인된다면 그거는 정말 굉장히 큰 위법 행위라고 볼 수 있을 것 같습니다.
◆ 김우성 : 예 아직 정확한 관계를 파악하고 질문을 교수님과 나누는 게 아니라는 점 청취자 여러분들과 관계자 여러분들께 다시 한 번 밝혀드리지만, 어쨌든 이 부분도 지금 석연치 않기 때문에 드러나야 됩니다. 책임을 지고 있는데 그 책임을 배신하면 엄청난 처벌을 받거든요. 그런 부분들이 아니길 저희도 아니었으면 좋겠는데 한번 이 밝혀져야 될 것 같고요.교수님 이게 이 정도 규모면 엄청나게 검은 돈이 오고 가거나 “비트코인을 얼마를 넘겨라.” 여러 가지 이런 게 있을 법도 한데 이번 사안이 특이한 것 중에 하나가 이 정보를 유출한 범죄자의 요구 사항이 없었습니다. 이건 뭘까요?
◇ 최경진 : 저도 굉장히 의아한데요. 보통은 시간을 가지고 일단은 협박을 한 다음에 본인이 정말 데이터 액세스할 수 있고 부정적으로 데이터를 획득했다라는 것을 과시하면서 오히려 협상을 해 가는 과정에서 나중에 돈을 요구할 수도 있긴 한데, 그러기에는 상당히 시간이 흘렀거든요. 그러면 이런 비정상적인 어떤 부정 접근으로 인한 개인정보 취득의 이유가 뭘까를 고민해 보면 본인이 해킹 실력 과시하는 방법도 하나 있지만 이건 그게 아닌 것 같고요. 또는 회사에 대한 불만으로 인한 보복일 수도 있을 것 같고 감정적인 요소겠죠. 또는 어쩌면 쿠팡 기업에 대한 흔들기도 있을 수 있지 않을까.
◆ 김우성 : 다양한 시나리오가 가능하네요.
◇ 최경진 : 또 한편으로는 저는 이렇게까지 갈 거라고 생각하지는 않지만 국가 사이버 안보 이슈 그러니까 국가 안보 관점에서 보면 쿠팡은 우리나라 국민들의 기본 생활에 굉장히 큰 영향을 미치는 기업이잖아요. 물류 개인, 소비자 물류를 엄청나게 차지하고 있고 이런 기업을 흔들려는 거라고 한다면 이건 정말 더 큰 국가 안보적인 이슈까지도 올라갈 수 있을 것 같은데, 이게 어떤 건지를 정부가 명백하게 밝혀야 될 것 같습니다.
◆ 김우성 : 맞습니다. 교수님이 제일 중요한 얘기를 해 주셨습니다. 지금 저희가 한국 인공지능법학회장 가천대 법학과 최경진 교수님과 인터뷰 중인데요. 국가 안보적 차원의 문제죠. 3천 만 명이 넘는 3370만 명의 국민의 정보가 넘어갔는데 제일 걱정되는 게 지금 교수님 말씀하신 부분이거든요. 요즘 전쟁이 미사일 쏘고, 총 쏘고 하기보다는 그런 거 없이도 그냥 그 나라를 혼란에 빠뜨리는 것만으로도 어떤 안보에 취약함을 만들잖아요. 그러니까 온 국민이 어떻게 유통하고 뭘 먹고 사는지를 다 보게 됐는데 앞서 교수님이 한번 언급해 주셨습니다만 수사를 통해서 이게 어느 단체 어디로 넘어갔는지 밝혀낼 수 있을까요? 이거 어떻게 될까요?
◇ 최경진 : 이거는 경찰에 이미 수사 요청을 했으니까 경찰과 개인정보보호위원회나 과기부나 관계 기관들이 공조를 해서 포렌식도 하고 실제로 수사를 하면 이거는 이미 과거의 내부자였던 자의 소행이라고 추정까지 나온 상태이기 때문에 충분히 가능하지 않을까, 기존 해커랑은 다를 것 같습니다.
◆ 김우성 : 예 어디로 넘어갔는지, 내 쿠팡 이용 정보 주소지, 공동 현관 비밀번호 이런 게 어디까지 가 있는지 빨리 수사 기관에서 밝혀내서 국민들을 안심하게 해야 될 것 같고요. 처벌이 너무 약해서 이 보안 문제에 투자 안 하는 거 아니냐 이런 지적이 여러 번 나옵니다. 과징금을 조 단위로 해야 된다 이런 주장도 있던데 어떻게 보십니까?
◇ 최경진 : 잘못이 밝혀진다면 그에 따른 책임은 당연히 져야 될 것 같고요. 그리고 과징금 같은 경우에는 기존에 이미 쿠팡 같은 경우에 제가 알기로는 상당히 투자를 해왔거든요. 그래서 그럼에도 불구하고 이런 사건이 나서 도대체 부터 잘못됐는지를 그 원인을 명확하게 밝혀야 될 것 같고, 특히나 최근에 보도에 나오는 것처럼 정말 기본적인 요소 특히나 자산 관리라든가 인사 관리가 정보보호 관점에서 충분히 이루어지지 않았다라는 것이 밝혀진다면 그거는 정말 기본부터 다시 바로 세워야 될 것 같고요. 처벌 관점에서는 이러한 사고들이 계속 나오고 있어서 과징금을 많이 물리는 것도 저는 하나의 방법일 수 있겠지만, 또 다른 한편으로는 정보 주체들한테 오히려 이 실제 피해 배상을 더 실효성 있게 해주는 것이 필요하지 않을까 싶고 또 한편으로는 이러한 어떤 대중 요법만이 아니라 쿠팡만이 아니라 지금 모든 사업자 개인 정보 처리자가 똑같은 환경에 있을 거라고 보거든요. 우리나라의 어떤 정보 보호나 개인 정보에 대한 감수성이 낮다는 게 문제입니다. 그래서 그러한 문화의 전환이라든가 인식 전환 그리고 실제로 개인정보 처리자가 기본을 바로 세울 수 있게끔 보다 효율적인 투자를 할 수 있게끔 유도하는 것 이런 것들을 함께 가야지 되지, 특정 행위에 대해서 그냥 강하게 처벌한다라는 것만 가지고는 제가 보기에는 디지털 전환 내지는 AI 전환 시대에 아주 일부의 어떤 대중적 요법에 불과할 것 같습니다.
◆ 김우성 : 예 맞습니다. 진짜 뭐랄까요? 여러분 편리함 뒤에는 이런 위험이 있습니다. 생체 인식으로 쉽게 쉽게 결제하고 들어가고 다 할 수 있지만 그만큼의 위험이 있기 때문에 역시 투자도 해야 되고 문화도 바뀌어야 되는데, 집단 소송 얘기를 해 주셨잖아요. 지금 20만 명 넘게 일단 카페에 가입했다고 하는데 저희가 얼마 전에도 통신사의 정보 유출 사태도 있었고요. 그럴 때마다 이 집단 소송을 해도 해외 사례와 달리 뭐랄까요 그렇게 그 피해를 입으신 만큼의 정당한 보상이 되었나 하는 수준으로 끝난 경우가 종종 있어요. 어떻게 보십니까?
◇ 최경진 : 아무래도 손해가 입증이 돼야 되는데 개인 정보가 유출되었다라는 것만으로 즉각적으로 손해가 증명되지는 않거든요. 보통은 그래서 정신적 피해에 대한 위자료 정도일 텐데 그래서 보통은 10만 원에서 30만 원 사이를 지급하는 게 조정이라든가 소송에서 일반적인 그동안의 사례였던 것 같습니다.그런데 우리가 되새겨야 할 거는 이 정보가 점점 많이 유출되고 많이 통합되어지면 그로 인해서 개인의 어떤 사적인 영역이 좁아질 수밖에 없고 실제 개인의 어떤 불편함이 더 가중될 수도 있고, 더 나아가서는 개인에 대한 직접적인 피해가 발생할 수 있다라는 인식을 우리가 해야 될 것 같습니다. 그래서 손해배상을 당연히 해 주는 건 필요할 수도 있겠지만 책임을 진다는 차원에서요. 그런데 말씀드린 것처럼 실제로 소비자가 안심하고 이런 서비스를 이용할 수 있게끔 만드는 환경을 만드는 게 저는 최우선이 돼야 될 것 같습니다.
◆ 김우성 : 예 맞습니다. 민간 혹은 소비자들로 구성된 정보보호위원회 이런 거라도 별도로 만드시고요. 점검 받으십시오. 국민들한테 보여주시고 “이만큼 안전합니다.”라고 보여주지 않으면 이제는 그 업체가 생존하기 힘든 상황이 돼야 되지 않을까. 문화라는 게 자발적으로 바뀌면 제일 좋지만 안 될 수도 있으니까요. 끝으로 교수님 여쭤보고 싶은 게 있습니다. 결국은 이런 일이 반복되면 우리 국민의 어떤 정보 보호 수준이라는 게 어떤 국가 경쟁력 차원에서도 너무 낮잖아요. AI 시대지 않습니까? 결국은 굉장히 이 정보를 활용해서 치명적인 앞서 안보 얘기까지 나왔었습니다만, 국가적 차원에서도 이걸 저희가 극복해야 될 과제인 것 같습니다. 방향성 앞서 문화 이런 거 얘기해 주셨지만 AI 시대에 맞춰서 어떤 방향 대안 방법 가능할까요?
◇ 최경진 : 제가 보기에는 AI 디지털 대전환 시대의 보안 사고나 개인정보 침해 위협은 계속 증가될 수밖에 없을 것 같습니다. 그리고 100% 예방은 불가능합니다. 그렇지만 그럼에도 불구하고 우리는 모든 것을 다 신뢰할 수 없다라는 제로 트러스트 철학이 있거든요. 이런 제로 트러스트 접근 방식에 따라서 정말 기본부터 하나씩 하나씩 챙길 필요가 있을 것 같고요. 그래서 가장 기본적인 인사 관리라든가 또는 자산 관리 같은 것에서 우리가 소홀하면 이번 사태 같은 것들이 발생하기 때문에 그러한 기본을 되살리는 제도 개선과 정책의 추진이 필요하고 나아가서 또 하나 우리가 관심을 가져야 될 게 사고 발생했을 때 회복 탄력성이 중요합니다. 그 회복 탄력성을 높이는 쪽으로 제도도 만들어야 되고요.
◇ 최경진 : 그리고 무엇보다 정보 보호 체계나 개인정보 보호 체계를 이런 사고 날 때마다 조금씩 바꾸는 것이 아니라 AI 디지털 대전환 시대에 필요한 그러한 어떤 정보보호 체계는 무엇인지를 보다 긴밀하게 기본적인 걸 고민해 가지고 이게 법 제도에 있어서 내지는 정책에 있어서도 대전환이 필요할 것 같습니다.
◆ 김우성 : 네. 정책 정치의 대전환 정말 중요한 부분인 것 같습니다. 특히 AI 시대에 AI를 활용해서도 보호할 수 있는데요. 그때 지켜야 될 법적인 개인 정보와 보호해야 될 대상 주체가 뭔지도 다시 한 번 리셋해야 될 것 같고 제로 트러스트의 개념에서 모든 부분을 봐야겠다라는 생각도 드네요. 교수님 말씀 감사드립니다.
◇ 최경진 : 네 감사합니다.
◆ 김우성 : 네 지금까지 한국인공지능법학회장과 인공지능 데이터 정책 연구 센터장 맡고 계시는 가천대 최경진 교수였습니다.
YTN 김세령 (newsfm0945@ytnradio.kr)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]