[기고-곽창규] 3,370만명 정보 유출, 구조적 문제

생활 속 위험을 줄이려면 사용자 중심 데이터 구조 전환
집중 저장 방식 자체가 만들어낸 위험 구조

곽창규(한국외대 겸임교수, UCASM 연구소장, 전 금융보안연구원장, 경제학박사)

쿠팡에서 3천370만 명의 개인정보가 유출된 사건은 '대형 플랫폼의 보안 사고'라는 말로는 설명이 부족하다. 대한민국 인구의 절반 이상이 영향을 받았다는 점에서, 이번 사태는 단순한 관리 부실이 아니라 우리 일상과 직결된 구조적 문제를 드러낸 사건이다.

대구경북 지역에서도 상당수 시민이 개인정보 노출 가능성과 그에 따른 2차 피해 위험에 놓여 있다. 중앙집중형 데이터로 범죄자에겐 '황금 창고'다. 문제의 핵심은 플랫폼 서비스가 개인정보를 대량으로 중앙 저장하는 방식에 있다. 개인정보가 하나의 거대한 저장소에 집중되면, 그 자체로 공격자에게는 한 번만 뚫어도 수천만 명의 정보를 얻을 수 있는 목표물이 된다.

실제로 이번 사건은 퇴사 직원의 접근 토큰이 6개월간 유효했던 구조적 허점 속에서 장기간에 걸쳐 이뤄졌다. 이는 보안 사고이기 전에, 집중 저장 방식 자체가 만들어낸 위험 구조라고 할 수 있다. 더 큰 문제는 피해가 고스란히 시민에게 전가된다는 점이다.

기업은 과징금만 내면, 사건이 정리될 수 있다. 하지만 이용자가 겪는 보이스피싱, 스미싱, 신원 도용 위험은 사건이 종료된 이후에도 장기간 이어진다. 한 번 유출된 정보는 회수할 수 없고, '인터넷 어둠' 속에서 계속 활용될 수 있기 때문이다. 이 구조에서는 아무리 보안을 강화해도 비슷한 사고가 반복될 가능성을 피하기 어렵다.

이 문제는 비단 쿠팡만의 이야기가 아니다. 2014년 카드 3사 정보 유출 사건에서 1억 건이 넘는 개인정보가 빠져나갔고, 그 이후로도 대형 플랫폼과 금융사의 유출 사고는 끊이지 않고 있다. 매번 재발 방지를 약속하고 보안 투자를 확대했지만, 중앙집중형 저장 구조가 유지되는 한 근본적인 해결은 불가능하다. 문제는 '얼마나 잘 지키느냐'가 아니라 '왜 그렇게 많이 모아 두느냐'에 있기 때문이다.

정부는 '소버린 AI'와 'AI 주권시대'를 내세우며 국가 차원의 AI 역량 강화를 추진하고 있다. 하지만 국민의 개인정보가 민간 플랫폼에 대규모로 집중된 채 유출되는 현실에서, AI 주권은 공허한 구호에 그칠 수밖에 없다. 진정한 AI 주권은 데이터 주권, 즉 국민 각자가 자신의 데이터를 직접 통제하는 구조를 갖추는 데서 출발해야 한다.

이제는 발상의 전환이 필요하다. 보안을 강화하는 차원에서 해결되지 않는 문제를 해결하기 위해서는 데이터 보관 방식 자체를 바꿔야 한다. 최근 주목받는 '사용자 중심 AI 공유 모델'(User-Centric AI Sharing Model, UCASM)은 플랫폼이 개인정보를 보관하지 않고, 사용자 개인이 직접 자신의 데이터를 관리하는 방식을 제안한다.

정보를 개인 데이터 저장소(PDS)에 보관하고, 기업은 배송이나 결제 등 서비스 제공에 필요한 순간에만 제한적으로 접근하는 구조다. 정보 이용이 끝나면 접근 권한은 자동으로 소멸된다. 기업이 대량 데이터를 쌓아 두지 않으니, 대규모 유출 상황도 구조적으로 차단된다.

쿠팡 사태는 우리에게 중요한 질문을 던진다. "플랫폼이 우리의 정보를 무기한 보관하는 구조를 언제까지 그대로 둘 것인가?"