[서울=뉴스핌] 남라다 기자 = 쿠팡이 대규모 개인정보 유출 사태 이후 보안 관련 인력 영입에 나서며 조직 재편에 속도를 내고 있다.

수석 보안 엔지니어뿐 아니라, 정보기술(IT) 내부 감사 전문가, 보안 거버넌스·리스크·컴플라이언스(GRC) 전문가 등 보안 관련 전방위적인 채용이 동시다발적으로 진행 중인 것으로 확인됐다. 쿠팡의 이번 대규모 인력 보강이 3370만건의 대규모 개인정보 유출 사건과 무관치 않다는 평가가 나온다. 

◆보안 인력 대거 채용 중...'그룹 리스크 비화' 영향 관측

11일 업계에 따르면 쿠팡은 지난 9일 △수석 보안 엔지니어(Principal Security Engineer) △보안 거버넌스·리스크 전문가(Security Governance·Risk Specialist) △IT 내부 감사 전문가(Senior IT Internal Auditor) 등 핵심 직군의 채용 공고를 잇달아 냈다. 

이는 개인정보 유출 사태가 단순 보안 사고를 넘어 그룹 전체를 뒤흔드는 경영 리스크로 비화하자, 유능한 인재를 영입해 보안 역량을 강화하려는 움직임으로 풀이된다. 

우선 수석 보안 엔지니어는 보안 아키텍처(Architecture)를 총괄 설계하는 핵심 직군이다. 최소 6년 이상의 경력을 가진 고급 보안 전문가를 대상으로 하며, 주요 업무는 △신규 서비스와 인공지능(AI) 시스템·클라우드 환경의 보안 체계 설계 및 내재화 △마이크로서비스(Microservice)·AI 시스템의 보안 취약점 분석 및 수정 가이드 제공 △보안 인증·권한 부여·암호화·비밀 관리 등 핵심 보안 솔루션 아키텍처 설계 등이다. 사실상 쿠팡의 기술·서비스 전반에 걸쳐 보안 체계를 다시 짜겠다는 의지로 읽힌다.

보안 GRC(거버넌스·리스크·컴플라이언스) 전문가는 쿠팡 전사의 정보보호 거버넌스와 리스크, 컴플라이언스 관리 체계를 구축·운영하게 된다. 쿠팡은 이미 전사 보안 GRC팀을 운영 중이며, 이번 채용 대상은 해당 조직의 시니어 리스크 관리자 역할을 맡게 된다. 한국인터넷진흥원(KISA)의 정보보호 관리체계(ISMS-P), 국제 표준 보안 규격인 ISO 27000 시리즈 등 국내·외 정보보호 인증 경험이 있는 전문 인력을 우대하며, 실제로 ISMS-P 구축·운영 경험 또는 ISO 인증 프로젝트 수행 경험이 요구된다.

이번 채용 공고에서 가장 눈길을 끄는 것은 쿠팡이 내부 감사 조직에 투입할 시니어 IT 내부 감사 전문가다. 이 역할은 IT SOX(내부통제제도), 데이터 프라이버시, 재해 복구(DR) 등 재무·회계 기반 전산시스템을 전반적으로 감시한다. 재무시스템 접근 권한, 로그 관리, 외주 시스템 통제, 보안 사고 대응 체계까지 점검하는 사실상의 '재무 전산 감사 중간관리자'로 평가된다.

우대 요건도 고난도 전문성을 요구한다. CISA(정보시스템감사사)를 비롯해 △CISSP(정보보안전문가) △CPA(공인회계사) △CIA(국제공인내부감사사) 자격증 보유자 또는 회계·IT·컴퓨터공학 전공자가 대상이다.

쿠팡이 시니어 IT 내부 감사 전문가 직군을 채용한 것은 이번이 처음은 아니다. 지난달에도 동일한 공고를 냈으며, 이달 다시 인재 확보에 나서면서 주목받고 있다. 쿠팡은 한국법인 본사는 물론 자회사 쿠팡페이 역시 지난달 26일 IT 내부 감사직 채용 공고를 냈으며 현재 접수는 마감된 상태다.

통상 유통업계에서는 재무 회계와 전산 감사를 같이 'IT 감사관'을 기용하는 사례는 있으나, 내부 감사 전문가를 채용하는 경우는 흔치 않다는 게 업계의 중론이다. 

◆'내부 직원 관리 허술' 지적...보안 체계 새 판 짜나

이번 쿠팡의 보안 인력 확충의 배경에는 데이터베이스 접근에 사용되는 API(Application Programming Interface) 관리 부실과 내부 통제 실패가 적나라하게 드러난 개인정보 유출 사건의 충격이 자리한다. 특히 IT 내부 감사 인력 보강은 재무·회계 시스템 기반 정보유출 가능성을 사전에 차단하기 위한 조치라는 분석이다.

한 대기업 정보보안 관계자는 "일반적으로 IT SOX는 접근, 권한, 데이터 복구 등 재무·회계 관련 IT 시스템에 대한 통제를 의미한다"며 "채용 공고를 보면 IT SOX에 내부 통제가 포함된 만큼 이번 개인정보 유출과 같이 내부 직원의 재무 회계 정보 유출을 막기 위한 사전 조치로 보인다"고 말했다. 

실제로 이번 개인정보 유출의 주요 용의자로 지목된 중국 국적 전직 직원은 API를 악용해 수개월 동안 고객 정보를 빼냈지만, 이 과정에서 단 한 차례도 경보 시스템이 작동하지 않았던 것으로 알려졌다. 올해 6월 말부터 서버에서 비인가 접근이 이뤄졌음에도 쿠팡은 지난달 16일 민원 제보가 접수되기 전까지 약 5개월간 사고 발생 사실조차 인지하지 못했다. IT 내부 통제의 구조적 허점이 고스란히 드러난 대목이다.

ISMS-P 체계가 사실상 제 기능을 하지 못했다는 시각도 있다. ISMS-P는 개인정보 처리, 보안 시스템, 내부 통제를 종합적으로 점검·관리하는 체계지만, 이번처럼 장기간에 걸친 내부자 유출 정황을 전혀 포착하지 못하면서 실효성 논란이 커지고 있다.

이 때문에 쿠팡이 탁월한 역량을 갖춘 보안·감사 인력을 신속히 영입하고 나선 것은 유출 사태 경위를 정밀하게 파악하는 한편, 정보유출 방지를 위한 '사전 예방–실시간 방어–사후 감사' 전 단계를 점검한 뒤 보안 체계를 재정비하려는 행보라는 평가가 지배적이다.

유통업계의 한 관계자는 "쿠팡의 개인정보 유출 규모는 역대 최대 규모"라면서 "내부 직원 소행으로 추정되는 만큼 보안 체계의 전반적인 재설계가 불가피하다. 현재보다 더 높은 수준의 보안 설계가 요구되는 만큼 책임자급 인력 보강이 필요했을 것"이라고 말했다. 

nrd@newspim.com