중국 국적의 쿠팡 옛 직원이 우리 국민 3천370만 명의 개인정보를 유출했다는 보도가 나왔다. 사실상 우리나라 경제활동인구 전원의 정보가 털린 셈이다. 이제껏 개인정보 유출은 해커나 외부 세력의 데이터베이스 접근으로 벌어지는 경우가 많았지만 이번엔 유출 경로가 좀 달랐다.
따져 보면 이 사태의 근본 원인은 외국인이 내국인의 초민감 정보를 관리할 수 있는 '제도 공백'이다. 미국은 중국에 위치한 틱톡 본사 직원이 미국인 데이터에 접근할 수 있는 구조를 알게 된 뒤 이를 국가 비상사태로 간주했다. 미국 사용자 데이터는 미국 서버에만 두고 접근 권한을 검증된 미국인에게만 부여하는 '프로젝트 텍사스'를 가동했다. 미국 정부는 이조차 부족하다며 틱톡의 미국 쪽 사업권을 분리해 중국 자본을 축출하는 강제 매각 법안까지 통과 시켰다.
그런데 한국엔 아무런 제한이 없다. 전국민 사생활이 담긴 데이터베이스의 핵심 접근권한을 누구에게 쥐어주든 막을 법적 근거가 없다. 상호주의 원칙조차 존재하지 않아 한국인은 중국인의 개인정보를 다룰 수 없지만 한국인의 초민감 정보는 중국인 개발자에게 무제한 노출될 수 있다. 이번 사태는 단순히 한 기업의 문제를 넘어 입법·제도 공백이 만든 국가안보의 구멍이다.
쿠팡은 나스닥에 상장됐고 임원진엔 외국인이 다수 포진한 기업이다. 사고 발생 뒤 직장인 익명 게시판 블라인드의 쿠팡 직원에 따르면 쿠팡 핵심 IT·데이터 조직 내 중국 국적자 비중이 기형적으로 높다고 한다. 심지어 중국인끼리 '내부 카르텔'을 형성했다는 구체적인 주장까지 제기됐다. 물론 블라인드 글을 사실이라고 단정할 순 없지만 외국 국적 내부자에 대한 규제가 없었고 그 결과 실제 범죄로 이어졌다는 건 명백한 사실이다.
이번 사태가 더 심각한 건 전화번호나 신용카드 정보 등 교체 가능한 정보가 아니라 이용자의 '주문내역'이 유출돼서다. 개인정보는 눈에 보이는 '관찰 정보(Observed Data)'와 이를 기반으로 도출되는 '추론 정보(Inferred Data)'로 구분할 수 있는데 주문내역으로부터 파악되는 가치관·건강상태·가족구성은 굉장히 민감한 추론 정보다. 지난 수년간 무엇을 먹고, 입고, 읽었는지에 대한 기록은 한 인간의 역사 자체를 담은 정보다.
특정 서적 구매는 정치·사상적 성향을 드러내고 기저귀·분유·식료품 구매 패턴은 자녀의 나이와 가족 구조를 노출한다. 심지어 당뇨식, 혈압약 보조제, 의료기기 구매는 건강·질병 정보까지 추론하게 한다. 실제 미국의 한 마트는 단순 구매 패턴 분석만으로 여고생의 임신 사실을 가족보다 먼저 알아낸 뒤 출산 관련 물품 할인쿠폰을 보내 논란이 됐다. 이번 사태는 앞으로 올 스팸 문자 몇 통의 문제가 아니다. 국민 3천300만 명의 삶을 현미경 들여다보듯 파악할 수 있는 데이터가 유출된 것이다.
현행법상 외국인은 국가 안보나 기밀에 관계되는 분야의 공무원으로 임용될 수 없다. 말단 공무원조차 엄격히 국적을 가려 뽑는데 전국민의 사생활과 민감정보를 다루는 자리에 검증되지 않은 외국인을 허용해서야 되겠는가. 이번 사태는 그간 우리에게 익숙했던 통상의 개인정보 유출이 아니다. 중국 정부 또는 중국 해킹 조직이 한국인의 초민감 정보에 접근할 가능성을 현실화한 매우 위험한 사건이다.
이제 국회는 '데이터 안보'를 입법 과제로 삼아야 한다. 일정 규모 이상의 민감 정보를 처리하는 기업에 대해서는 철저한 신원 검증을 거친 내국인만 데이터 최고 접근 권한을 가지도록 제한하는 입법이 시급하다. AI 시대를 맞아 추론 정보에 대한 규제도 필요하다. 소는 잃었지만 외양간이라도 고쳐야 할 것 아닌가.
조상현 전 기획재정부 장관정책보좌관 / 법률사무소 상현 대표변호사
* 가스인라이팅(Gas Enlighting)은 매일신문에서 새롭게 선보이는 칼럼 공간입니다. '가스라이팅'은 1930년대 가스등을 사용하던 시절 파생된 용어입니다. 가스등을 조금씩 어둡게 해 누군가를 통제하는 걸 의미하는데요 '가스인라이팅'은 그 반대로 등불을 더 밝게 비춰주자는 뜻입니다. 젊은이들의 시각으로 새로운 이야기를 자주 선보이도록 하겠습니다.
** 외부 기고문은 본지 편집 방향과 다를 수 있습니다.
