최근 게임·전자상거래 업계에서 대규모 개인정보 침해사고가 잇따른 가운데, 넷마블과 쿠팡의 대응 방식이 극명한 대조를 이뤄 주목된다. 두 사건 모두 대규모 개인정보 유출이라는 공통점이 있지만, 사후 조치의 핵심인 대응 속도와 투명성이 대비돼 눈길을 끈다.

넷마블은 유출 사실을 확인한 뒤 절차에 따라 공지를 진행하며 피해 확산 방지를 위한 대응을 실시했다. 사실을 인지한 직후 611만 명 규모의 유출 사실을 발표한 데 이어, 내부 조사 중 8000여 건의 추가 유출을 확인하자 즉시 이를 알렸다. 회사는 전체 공지는 물론 개별 통지 절차를 병행하며 유출 항목과 확인 방법을 홈페이지를 통해 안내했다.
5일 현재 넷마블 PC 홈페이지 상단에는 여전히 침해사고 안내 배너가 게시돼 있다. 이용자가 손쉽게 피해 여부를 확인할 수 있도록 접근성을 보장하며, 수습 의지를 드러낸 것으로 볼 수 있다. 다만, 신속한 사후 처리와 달리 구체적인 보안 체계 강화나 재발 방지 로드맵은 공개하지 않고 있다는 점에서 아쉬움을 남긴다.

이에 넷마블은 "관계기관 조사에 적극 협조하고 있으며, 고객님들의 불편을 최소화할 수 있도록 기민하고 투명하게 대응하겠다"라며 "보안을 한층 강화할 수 있는 여러 방안을 심도있게 고민하고 내놓을 수 있도록 하겠다"고 말했다.

반면 쿠팡은 초기 대응 과정에서 잇따른 잡음을 냈다. 최초 신고 당시 4500건으로 보고됐던 유출 규모가 최종 3370만 건으로 정정되면서 '축소 보고' 의혹이 일었다. 특히 박대준 대표가 국회 현안 질의에서 유출을 '노출'로 표현해 질타를 받았고, 민감 정보인 공동현관 비밀번호 유출 사실이 뒤늦게 드러나 빈축을 샀다.
무엇보다 쿠팡이 침해사고 안내 배너를 불과 이틀 만에 내린 점은 넷마블과 가장 대비되는 대목이다. 일부에서는 정보 제공 의무를 형식적으로만 이행했을 뿐, 실질적인 피해 구제 의지가 부족했다는 비판어린 시선을 보내고 있다.

정보보호의 전장은 본질적으로 방어자에게 불리한 '비대칭 구조'다. 야구에 비유하자면 투수인 기업은 수만 번 공격을 막아내도 단 한 번의 실투인 취약점 노출로 점수를 내주지만, 공격자(타자)인 해커 등는 단 한 번의 유효타나 홈런만으로 데이터를 탈취할 수 있다. 실제로 최근 AI 기반의 반복적인 자동화 공격이 급증하며 방어 난이도는 더욱 높아진 상황이다.

이러한 환경에서 국제표준인 ISO 27001과 국내 정보보호 관리체계인 ISMS는 침해사고의 예방과 보호만큼이나 '발생 직후 대응'을 핵심 지표로 꼽는다. 사고 발생을 '제로(0)'로 만드는 것이 불가능하다면, 탐지·보고·통지·확산 방지로 이어지는 '골든타임'을 얼마나 신속하게 확보하느냐가 관건이다. 예방조치 만큼이나 사후관리에도 비중을 두는 것이다. 이런 기준을 적용하면 넷마블은 초기 공지, 추가 유출 즉시 안내, 배너 유지 등을 통해 절차적 대응을 비교적 신속하게 진행했다.

이 기준을 적용할 때 두 회사의 희비는 엇갈린다. 넷마블은 추가 유출 즉시 안내하고 배너를 유지하며 '골든타임' 내에 피해자 알 권리를 충족시켰다. 반면 쿠팡은 초기 유출 규모 산정 실패와 소극적인 통지 방식으로 대응의 적기를 놓쳤다는 평가를 피하기 어려워 보인다. 두 회사의 상반된 대응은 침해사고와 정보보호에 대한 위협이 지속적으로 높아지는 시점에서, 정보보호와 사후대응 체계를 재점검할 필요성을 보여준다.
서삼광 기자 (seosk@dailygame.co.kr)