오늘 아침 저는 스마트폰 제어 패널을 점검하다가 CJ그룹 여성 임직원 330여 명의 개인정보가 텔레그램 채널을 통해 3년간 유출됐다는 소식을 접했습니다. 외부 해킹이 아닌 내부자의 소행이라는 대목에서 손이 멈췄습니다. 보안 인프라에 수백억을 쏟아붓는 대기업조차 내부의 허점 앞에서 이렇게 무너질 수 있다는 게 남 얘기 같지 않았습니다.
내부자 위협: 왜 대기업도 막지 못했나
이번 사건을 단순히 "직원 한 명의 일탈"로 보는 시각도 있습니다. 그런데 저는 그 해석이 너무 안이하다고 생각합니다. 제가 직접 1인 디지털 창업을 준비하며 가상서버를 구축하고 데이터베이스를 관리해본 경험상, 내부자 위협(Insider Threat)이야말로 외부 해킹보다 훨씬 다루기 까다로운 문제입니다. 여기서 내부자 위협이란 조직 내부의 구성원이 정당한 접근 권한을 이용해 데이터를 유출하거나 악용하는 행위를 의미합니다. 방화벽이나 침입 탐지 시스템은 외부에서 오는 공격을 막기 위해 설계된 것이지, 이미 문 안에 들어와 있는 사람을 막기 위한 구조가 아니거든요.
CJ그룹 측은 유출된 정보에 내부 인트라넷에서 조회 가능한 데이터가 포함됐다는 점을 근거로 내부자 소행으로 판단했습니다. 실제로 자사에 근무한 이력이 있는 직원 1명을 유출자로 특정해 경찰에 자료를 넘긴 상태입니다. 문제는 이 유출이 무려 3년이라는 시간 동안 탐지되지 않았다는 점입니다. 제가 운영하는 작은 서버에서도 IAM(Identity and Access Management), 즉 접근 권한 관리 시스템을 결벽증에 가깝게 점검하는 이유가 바로 이겁니다. IAM이란 누가 어떤 데이터에 접근할 수 있는지를 통제하고 기록하는 시스템으로, 비정상적인 데이터 조회 패턴을 조기에 포착하는 핵심 도구입니다.
이번 사건에서 특히 눈에 띄는 것은 해당 텔레그램 채널이 2025년 10월과 12월, 두 차례에 걸쳐 채널 매매 플랫폼을 통해 가상화폐로 소유권이 거래됐다는 사실입니다. 개인정보가 담긴 채널 자체가 자산처럼 사고팔린 겁니다. 이 구조가 섬뜩한 이유는, 유출자 한 명을 잡아도 이미 데이터를 넘겨받은 2차, 3차 구매자가 존재한다는 점입니다. 개인정보보호위원회의 2023년 개인정보 보호 연차보고서에 따르면, 국내 개인정보 침해 신고·상담 건수는 해마다 증가하는 추세이며 내부자에 의한 유출 사례가 전체의 상당 비율을 차지합니다(출처: 개인정보보호위원회). 이 숫자를 볼 때마다 보안은 기술의 문제만큼이나 사람과 프로세스의 문제임을 절감합니다.
이번 사건에서 기업이 최소한 갖췄어야 할 내부 통제 장치를 정리하면 다음과 같습니다.
- 인트라넷 내 개인정보 조회 시 화면 캡처 및 스크린샷 방지 기능 적용
- 대량 데이터 조회 및 다운로드 시 실시간 알림을 보내는 DLP(Data Loss Prevention, 데이터 유출 방지) 시스템 운영
- 퇴직자 및 이직자의 접근 권한을 즉시 회수하는 오프보딩 프로세스 자동화
- 내부 접근 로그를 최소 1년 이상 보존하고 정기적으로 이상 징후를 분석하는 로그 분석 체계 구축
이 중 하나라도 제대로 작동했다면 3년이라는 시간 동안 유출이 방치되는 일은 없었을 겁니다.
텔레그램 밀매와 2차 피해: 어디까지 추적할 수 있나
피해자들이 가장 두려워하는 것은 유출 자체보다 앞으로 벌어질 2차 범죄입니다. 이름, 사진, 휴대전화번호, 소속 부서, 직급에 자녀와 가족 사진까지 담긴 정보는 보이스피싱의 완벽한 재료가 됩니다. 실제로 유출 시점 전후로 스팸 연락이나 수상한 접근을 경험한 피해자가 이미 나왔다는 보도도 있었습니다. 저도 솔직히 이건 예상 밖의 범죄 구조라고 느꼈습니다. 단순히 개인정보를 훔치는 데 그치지 않고, 텔레그램 채널 자체를 가상화폐를 통해 거래하는 방식으로 범죄의 수익화 구조까지 완성해 놓은 겁니다.
딥페이크(Deepfake) 범죄 가능성도 수사 선상에 올라 있습니다. 딥페이크란 인공지능 기술을 이용해 특정인의 얼굴이나 음성을 다른 영상에 합성하는 기술을 말합니다. 일상 사진과 가족 사진까지 유출된 이상, 이 데이터가 딥페이크 영상 제작에 악용될 가능성은 결코 낮지 않습니다. 경찰도 이 점을 인식하고 딥페이크 범죄 등 추가 혐의까지 열어두고 수사를 진행하겠다고 밝혔습니다.
일부에서는 "텔레그램은 서버가 해외에 있어 수사가 불가능하다"고 체념하는 시각도 있습니다. 하지만 저는 그게 이 사건을 흐지부지 마무리하는 면죄부가 되어선 안 된다고 봅니다. 가상화폐 지갑 주소는 블록체인 위에 기록이 남습니다. 블록체인이란 거래 내역을 분산된 네트워크에 투명하게 기록하는 기술로, 익명성 뒤에 숨어도 자금의 흐름 자체는 추적이 가능한 구조입니다. 실제로 국내외 수사기관이 가상화폐 추적 기술을 활용해 다크웹 범죄자를 검거한 사례는 이미 다수 존재합니다. 한국인터넷진흥원(KISA)이 발표한 자료에 따르면, 국내 사이버 범죄 수사에서 디지털 포렌식 기술과 가상화폐 추적을 병행한 경우 검거율이 유의미하게 높아졌다는 분석도 있습니다(출처: 한국인터넷진흥원). 이번 사건에서도 채널을 구매한 2차 가해자들까지 전원 추적하는 것이 가능하고, 또 반드시 이루어져야 한다고 생각합니다.
이번 사건을 계기로 기업들이 직원 개인정보를 단순한 '조회용 데이터'로 방치하는 관행을 바꿔야 한다는 목소리가 높아지고 있는데, 저도 그 의견에 전적으로 동의합니다. 특히 30대 중반이 된 이후 무형의 데이터 자산이 얼마나 큰 의미를 갖는지 체감하면서부터, 저는 제 서버의 방화벽 설정과 접근 권한 스케줄러를 수시로 갱신하는 것을 하루의 루틴으로 삼고 있습니다. 오늘 아침에도 이 기사를 읽자마자 날이 밝기도 전에 노트북을 켜고 내부 접근 권한을 한층 더 까다롭게 재조정했습니다.
이번 사건은 기술이 아무리 발전해도 결국 가장 취약한 보안 구멍은 사람일 수 있다는 불편한 진실을 다시 한번 드러냈습니다. 피해자들이 하루빨리 2차 피해 공포에서 벗어날 수 있도록 수사가 신속하게 진행되길 바라고, 기업들은 이번 사건을 반면교사 삼아 내부 통제 시스템을 전면 재점검해야 할 것입니다. 독자분들도 자신이 속한 조직에서 개인정보가 어떤 방식으로 관리되고 있는지, 한 번쯤 직접 확인해 보시길 권합니다.