이런 생각 해본 적 있는가?

“우리 회사는 대기업도 아닌데, 해킹 당할 일 있을까?” “보안팀도 있고, 전산실도 있는데 괜찮겠지?”

2024년 말 쿠팡에서 460만 명의 개인정보가 유출됐을 때, 많은 기업 담당자들이 충격을 받았다. 단순히 “큰 회사니까 당했겠지"가 아니라, 구조적 취약점이 원인이었기 때문이다.

문제는 이런 취약점, 당신 회사에도 있을 수 있다는 점이다.

쿠팡 사고, 핵심만 보면

해커가 대단해서? 아니다.

  • 접근 권한이 너무 많은 사람에게 열려 있었고
  • 이상한 접근을 감지하는 시스템이 없었고
  • 암호화가 제대로 안 되어 있었다

즉, 시스템 설계부터 구멍이 있었던 것이다.

이건 기업 규모와 상관없는 문제다. 중소기업도, 스타트업도 똑같이 점검해야 한다.

5분 자가진단: 우리 회사는 안전할까?

각 항목별로 체크해보자. ❌가 하나라도 있다면, 지금 당장 개선이 필요하다.

1단계: 수집할 때

  • 정말 필요한 정보만 받고 있는가? (예: 이벤트 응모인데 주소, 전화번호까지 필수?)
  • 회원가입 시 선택/필수 항목이 명확한가?
  • 수집하는 순간부터 암호화되는가?
  • “왜 이 정보가 필요한지” 설명하고 있는가?

많이 하는 실수: “예전부터 받던 거라 그냥 계속 받는다” → ❌ 수집 근거가 불분명하면 위법이다.

2단계: 보관할 때 (가장 취약한 단계)

  • 개인정보 DB에 누가 접근할 수 있는가? (→ 10명 이상이면 위험 신호)
  • 주민등록번호, 카드번호가 암호화되어 있는가?
  • 누가 언제 어떤 정보를 조회했는지 기록되는가?
  • 퇴사자 계정이 바로 삭제되는가?
  • 개발/테스트할 때 실제 고객 정보 쓰는가? (→ YES면 큰 문제다)

쿠팡이 당한 이유가 바로 여기다.

실제 사례:

  • “개발팀이 테스트하려고 실제 고객 DB를 복사해서 썼다”
  • “DBA 계정 비밀번호가 ‘admin123’이었다”
  • “야근하던 직원이 VPN 없이 집에서 접속했다”

이런 일, 당신 회사에도 있지 않은가?

3단계: 사용할 때

  • 직원이 고객 정보를 조회할 때 이유를 남기는가?
  • 한 번에 100건 이상 다운로드하면 알림이 가는가?
  • 마케팅에 쓸 때 별도 동의를 받았는가?
  • 개인정보보호 교육, 올해 했는가?

주의: 내부 직원이 유출하는 경우가 30% 이상이다.

4단계: 외부에 줄 때

  • 택배사, 문자 발송사 등에게 줄 때 계약서에 보안 조항이 있는가?
  • 협력사가 제대로 관리하는지 점검하는가?
  • 해외 서버에 저장하는가? (→ YES면 법적 근거 확인 필수)

5단계: 버릴 때 (가장 소홀한 단계)

  • 회원 탈퇴하면 정보가 바로 삭제되는가?
  • 언제 삭제할지 정해져 있는가?
  • 삭제 기록이 남는가?
  • 백업 데이터도 함께 삭제되는가? (→ 이거 안 하면 의미 없다)
  • 엑셀로 받은 정보도 정기적으로 삭제하는가?

실제로 많은 회사가: “탈퇴 회원 데이터를 5년째 그냥 쌓아두고 있다”

자가진단 결과 해석

✅ 모두 체크: 안전 수준 양호

→ 그래도 분기마다 재점검하라

⚠️ 3~5개 미체크: 개선 필요

→ 우선순위 정해서 6개월 내 개선

🚨 6개 이상 미체크: 위험 수준

→ 즉시 개선 계획 수립 필요 → 사고 나면 법적 책임 + 평판 리스크

당장 할 수 있는 3가지

지금 바로 실행 가능한 것부터:

1. 개인정보 접근 권한 현황 파악 (30분)

  • 엑셀로 정리: 누가 / 어떤 정보에 / 왜 접근하나
  • 불필요한 권한 즉시 회수

2. 퇴사자 계정 일제 점검 (1시간)

  • 작년에 퇴사한 사람 계정 아직 살아있는가?
  • 있으면 오늘 바로 삭제

3. 비밀번호 강도 확인 (5분)

  • 관리자 계정 비밀번호가 쉬운가?
  • 12자리 이상 + 특수문자 + 숫자 조합 필수

더 큰 문제가 생기기 전에

개인정보 유출 사고가 나면:

법적 처벌:

  • 과징금 (매출액의 3% 이하)
  • 형사 처벌 (5년 이하 징역 또는 5천만원 이하 벌금)

실질적 피해:

  • 고객 신뢰 추락
  • 언론 보도로 인한 평판 리스크
  • 집단 소송 가능성

“우리는 작은 회사라 괜찮다"는 착각이다. 오히려 작은 회사일수록 한 번의 사고가 치명적이다.

결론: 오늘 30분만 투자하라

쿠팡 사고의 교훈은 명확하다: “대기업도 당했는데, 우리가 안전할 리 없다”

지금 당장:

  1. 위 체크리스트 출력
  2. 담당 부서와 회의
  3. 가장 위험한 항목부터 개선

사고가 나고 나서 후회하지 마라. 예방이 가장 저렴한 투자다.

관련 글:

참고:

  • 개인정보보호법 제29조
  • 개인정보의 안전성 확보조치 기준

체크리스트가 도움이 되었는가? Clean Work Lab은 실무자를 위한 컴플라이언스 가이드를 제공한다.