인지 심리학과 기업의 리스크 관리 의사결정
하루가 멀다 하고 개인정보 유출 뉴스가 쏟아집니다.
이제는 “또 터졌구나”라는 반응이 더 익숙할 정도입니다.
올해만 돌아봐도 굵직한 사건들이 이어졌습니다.
전 국민의 개인정보가 이미 공공재처럼 흘러다니고 있다고 말해도 과언이 아닐 정도입니다.
이쯤 되면 한 가지 질문을 던지게 됩니다.
기업의 개인정보 리스크 관리, 정말 제대로 작동하고 있는 걸까?
이번 포스팅에서는 반복되는 개인정보 유출을
단순한 보안 기술의 문제가 아니라,
기업의 의사결정 방식, 특히
인지 심리학에서 말하는 휴리스틱(어림법)의 관점에서 바라보고자 합니다.
리스크 관리의 허점은
기술보다 먼저, 사람의 판단에서 시작됩니다.
어쩌면 문제는 기술보다 먼저,
의사결정자들이 어떤 판단을 ‘당연한 것’으로 여겨왔는지에서 시작되었는지도 모릅니다.
<최근 개인정보 유출 주요 사례 요약>
SK텔레콤 : 2025년 초, 약 2,700만 건의 유심(USIM) 정보 대규모 유출
조사 결과, 외부 공격자가 내부 자격 증명을 장기간 악용하며 침투한 것으로 드러났으며, 국내 통신사 역사상 최악의 보안 사고 중 하나로 평가된다.
삼성바이오로직스: 사내 전산망의 공용 폴더 접근 설정 문제로 수천 명의 개인정보가 내부에서 열람 가능한 상태였던 사고
외부 해킹이 아닌 내부 시스템 설정과 관리 미흡에서 비롯된 사례로, 운영 관행이 보안 사각지대를 만들 수 있음을 보여준다.
쿠팡: 2025년 12월 현재, 3,370만 건 이상의 개인정보 유출 사실이 확인
현재 관계 당국의 조사와 제재 절차가 진행 중이며, 대규모 플랫폼 기업의 데이터 관리 책임과 리스크 대응 체계에 대한 사회적 논의가 확산되고 있다.
https://www.donga.com/news/It/article/all/20251201/132876539/1
문제는 이런 사건들이 예외가 아니라는 점입니다.
동아일보 보도에 따르면,
국내에서 발생한 개인정보 유출 사고의 약 94%가 민간기관에서 발생하고 있습니다.
더 심각한 점은, 유출 사고 10건 중 6건이 내부자 업무 과실에서 비롯된다는 사실입니다.
이번 쿠팡 사례 역시 내부 직원에 의한 유출로 알려졌습니다.
문제의 핵심은
고도의 해킹 기술만이 아니라,
사람의 판단과 조직의 운영 방식에 있다는 뜻입니다.
인지심리학에서는 사람들이 복잡한 문제를 판단할 때
모든 경우를 계산하지 않고, 간단한 판단 규칙을 사용하는 경향을 설명합니다.
이를 어림법(heuristics), 휴리스틱 이라고 부릅니다.
어림법(휴리스틱)은 흔히 ‘감’이나 ‘직관’으로 오해되지만,
정확히 말하면 복잡성을 줄이기 위한 현실적인 판단 방식입니다.
시간이 없고, 정보가 불완전하고, 결과가 불확실할수록
사람은 계산보다 경험에 기대게 됩니다.
노벨경제학상 수상자인 허버트 사이먼(Herbert A. Simon)은
이미 1970년대에 이런 현실을 정확히 짚었습니다.
Simon(1979)은
현실의 조직과 기업은 모든 정보를 수집하고
확률과 손실을 완벽하게 계산할 수 없다고 보았습니다.
시간, 정보, 인지 능력 모두가 제한되어 있기 때문입니다.
그는 이를 제한된 합리성(Bounded Rationality) 이라고 불렀습니다.
https://www.jstor.org/stable/1808698
기업은 비합리적으로 행동하는 것이 아니라,
제한된 조건 속에서 최대한 합리적으로 행동한다는 것입니다.
Atanasiu 외 연구진(2025)은
경영자의 어림법을 단순한 오류나 편향으로 보지 않습니다.
이들은 기존 연구를 종합해
어림법에는 두 가지 서로 다른 모습이 있다고 설명합니다.
(1) innate heuristics used reflexively
하나는 자동적으로 튀어나오는 판단,
즉 상황을 충분히 고려하지 못한 채 반사적으로 작동하는 어림법
(2) learned heuristics used deliberately
다른 하나는 반복된 경험을 통해 형성된,
의도적으로 사용하는 어림법
이 두 가지를 구분하지 않으면
어림법에 대한 연구가 계속 엇갈릴 수밖에 없다는 것이
이 연구의 핵심 주장입니다.
휴리스틱(어림법)은
‘생각을 덜 하는 방식’이 아니라
과거에 이미 했던 생각을 재사용하는 방식이라는 것입니다.
연구에서는 경영자의 어림법은
경험, 시간, 인지적 노력, 환경에 대한 정보를
저장해 둔 장치(storage device)와 같다고 비유하기도 했습니다.
https://onlinelibrary.wiley.com/doi/10.1111/ijmr.12382
Atanasiu, R., Wickert, C., & Khapova, S. N. (2025). Towards a heuristic view of managerial heuristics: Integrating divergent perspectives. International Journal of Management Reviews, 27(1), 58-80.
이 관점에서 보면,
기업이 개인정보·사이버 리스크를 판단할 때
“이 정도면 괜찮다”고 말하는 순간은
무책임한 낙관이 아니라 다음과 같은 과거의 경험이 쌓여온
' 과거에 이미 했던 생각을 재사용하는 방식' 같은 판단일 수 있습니다.
지금까지 큰 사고가 없었고
비슷한 상황에서도 문제가 없었고
기존 기준으로는 관리 가능하다고 학습해 왔기 때문입니다
이렇게 형성된 어림법은
조직 내부에서는 오히려 합리적으로 작동합니다.
불완전한 정보 속에서 빠르게 판단해야 하는 상황에서
과거 경험은 가장 신뢰할 수 있는 기준점이 되기 때문입니다.
하지만 문제는 이 판단 방식이
환경 변화에는 매우 둔감하다는 점입니다.
해킹 기술은 빠르게 고도화되고,
기업이 보유·처리하는 데이터 규모는 기하급수적으로 커지며,
개인정보 보호에 대한 규제와 사회적 기대는 계속 강화되고 있습니다.
과거에는 ‘괜찮았던 기준’이
현재와 미래에도 유효하다는 보장은 없습니다.
그럼에도 어림법은
새로운 위험을 새롭게 계산하기보다,
기존 기준에 맞춰 현실을 해석하려는 성향을 가집니다.
그 결과, 사고 전에는 리스크가 체계적으로 과소평가되고
문제가 발생한 이후에야
“왜 미리 대비하지 않았나”라는 질문이 뒤늦게 제기됩니다.
하지만 이 질문에 대해
조직 내부에서는 명확한 답을 내놓기 어렵습니다.
왜냐하면 당시의 판단은,
그 시점에서는 경험에 근거한 합리적인 선택이었기 때문입니다.
이 지점에서 개인정보 리스크 관리의 핵심 문제가 드러납니다.
쿠팡의 개인정보 유출 사례를 조금 더 들여다보면,
앞서 이야기한 어림법적 판단의 흔적이 비교적 분명하게 드러납니다.
이 사고는 단순히 “보안이 뚫렸다”는 기술적 문제라기보다,
리스크를 인식하고 해석하는 과정에서 익숙한 판단 방식이 반복된 결과로도 읽을 수 있습니다.
1. 문제는 오래됐는데, 인지는 늦었다
보도에 따르면 쿠팡에서는
2025년 6월 말부터 개인정보에 대한 무단 접근이 있었던 것으로 보이지만,
이를 공식적으로 인지한 시점은 11월 중순이었습니다.
약 5개월 동안 문제를 알아채지 못했다는 의미입니다.
이 지점은 단순한 탐지 실패라기보다,
초기 징후를 ‘중요한 리스크’로 받아들이지 못한 판단으로 해석할 여지가 큽니다.
초기에 파악된 노출 규모가 비교적 제한적이었기 때문에,
“심각한 사고는 아니다”라고 판단했을 가능성도 제기됩니다.
과거 대규모 유출 사례들과 비교했을 때,
초기 수치만 놓고 보면 위험이 크게 느껴지지 않았을 수도 있습니다.
이처럼 작은 신호를 기준으로 전체 상황을 판단하는 방식은
대표적인 기준점(anchor)과 가용성(availability) 어림법의 모습입니다.
2. 오래된 접근 권한은 그대로 남아 있었다
또 하나 주목할 부분은 내부 접근 권한 관리입니다.
경찰 조사와 언론 보도에 따르면,
퇴직한 직원의 인증키가 장기간 방치되었고,
해당 계정이 계속해서 데이터 접근에 사용된 정황이 드러났습니다.
이 역시 “몰라서 방치했다”기보다,
지금까지 문제가 없었기 때문에 괜찮다고 여겨진 판단일 가능성이 큽니다.
정상적으로 운영되던 기간의 경험이
“이 구조는 안전하다”는 암묵적인 기준으로 굳어졌을 수 있습니다.
결과적으로 과거 경험이
미래의 위험까지 보장해 줄 것처럼 작동한 셈입니다.
3. ‘유출’이 아니라 ‘노출’이라는 표현
사고 초기, 쿠팡이 사용한 표현도 논란이 됐습니다.
회사는 ‘유출’ 대신 ‘노출’이라는 단어를 사용했습니다.
이 단어 선택은 법적·기술적 맥락에서는 설명될 수 있지만,
인지적 관점에서 보면 사건의 심각성을 낮게 인식하게 만드는
프레이밍 효과로 작동할 여지도 있습니다.
“완전히 빠져나간 건 아니다”
“치명적인 피해는 아니다”
이런 인식은
기존 기준점을 유지한 채 상황을 해석하려는 판단과 맞닿아 있습니다.
4. 사고 이후에 쏟아진 질문들
사건이 공식화된 이후에는 상황이 급변했습니다.
소비자 신뢰 하락, 규제기관 조사, 법적 대응,
그리고 국회에서의 책임 논의까지 이어졌습니다.
이 시점에서 가장 많이 등장한 질문은 익숙합니다.
“왜 미리 대비하지 않았나?”
하지만 이 질문은 늘 사고 이후에야 등장합니다.
사고 전에는 리스크가 낮다고 판단되었고,
사고 후에는 마치 당연히 알 수 있었던 문제처럼 재해석됩니다.
이는 인지심리학에서 말하는 후판단 편향(hindsight bias)의 전형적인 모습입니다.
쿠팡 사례가 보여주는 것
초기 위험 신호를 충분한 리스크로 인식하지 못한 인지 지연
과거 무사고 경험을 기준으로 삼은 기준점 유지
사건의 규모를 낮춰 해석하게 만드는 표현과 프레이밍
사고 이후에 나타나는 사후 재평가와 충격
이 모든 요소는
기업 의사결정에서 리스크가
정교한 계산보다 경험 기반 어림법에 의해 판단되고 있음을 보여주는 단서들입니다.
비록 Atanasiu 외(2024)의 연구는
learned heuristics를 본질적으로 나쁘거나 잘못된 판단 방식으로 규정하지는 않습니다.
오히려 이 연구는, 반복된 경험을 통해 형성된 어림법이
현실의 제약 속에서 의도적이고 효율적인 판단 도구로 작동할 수 있음을 보여줍니다.
하지만 문제는,
이 어림법이 어떤 맥락에서, 어떤 결과를 낳는가입니다.
쿠팡의 개인정보 유출 이후 대응 과정을 보면,
기존 경험과 기준점에 의존한 휴리스틱 기반 의사결정으로,
발생한 피해는
특정 부서나 조직 내부에 국한되지 않고,
가입자로 대변되는 사실상의 ‘전 국민’에게 전가되었습니다.
이 지점에서 우리는 이렇게 말할 수 있습니다.
어림법 그 자체가 문제라기보다,
그 어림법이 낳은 결과를 고려할 때
이번 쿠팡의 의사결정은 결과적으로 ‘나쁜 결정’이었다.
그렇다면 이제 질문은 자연스럽게 다음으로 이어집니다.
쿠팡의 미래는 어떻게 될까?
어떤 이는 이번 사태를 두고
쿠팡의 신뢰와 성장에 치명적인 적신호라고 말합니다.
반대로, 또 다른 이는
“큰 플랫폼은 결국 회복한다”며
장기적 영향은 제한적일 것이라고 전망합니다.
이처럼 엇갈린 예측이 나오는 이유는 무엇일까요?
이를 참고해볼 만한 흥미로운 연구가 있습니다.
2025년 Journal of Management Studies에 실린
Wenzel 외의 Future Making 연구입니다.
Wenzel, M., Cabantous, L., & Koch, J. (2025). Future making: Towards a practice perspective. Journal of Management Studies.
https://onlinelibrary.wiley.com/doi/full/10.1111/joms.13222
이 연구의 핵심 주장은 단순합니다.
조직의 미래는 예측되는 것이 아니라,
사고 이후의 판단과 실천을 통해 ‘만들어진다’는 것입니다.
Wenzel 외 연구진은
기업이 위기나 불확실성에 직면했을 때,
미래를 계산적으로 예측해 움직이기보다는
현재의 판단, 담론, 대응 방식을 통해
어떤 미래를 ‘정상적인 경로’로 고정해 간다고 설명합니다.
중요한 것은
“사고가 났는가”가 아니라,
그 사고를 어떻게 해석하고, 어떤 방식으로 대응하며,
무엇을 반복 가능한 기준으로 남기느냐입니다.
이 관점에서 보면,
쿠팡의 미래 역시 이미 정해진 것이 아니라
지금 이 순간의 대응과 판단 속에서 만들어지고 있는 중이라고 볼 수 있습니다.
그리고 바로 이 지점에서,
휴리스틱 기반 의사결정은
단순한 ‘과거 경험의 재사용’을 넘어
미래를 형성하는 실천(practice)으로 작동하기 시작합니다.
“이전의 판단이 맞았는가, 틀렸는가”에서 벗어나 지금의 쿠팡이
진짜 질문은 이것입니다.
이 판단이 조직의 어떤 ‘미래 정상성’을 만들어 가고 있는가?
어림법(heuristics)은
단기적인 의사결정을 빠르게 내리기 위한 도구처럼 보이지만,
실제로는 그 이상입니다.
어림법은 반복될수록
조직이 세상을 해석하는 기본 틀로 굳어집니다.
그 결과, 어림법은 다음과 같은 역할을 합니다.
어떤 리스크를 “이 정도는 관리 가능하다”는 것으로 만들고
어떤 사고를 “예외적인 사건”으로 분류하며
어떤 대응 방식을 “앞으로도 당연히 따라야 할 경로”로 고정합니다.
이렇게 축적된 판단은 개별 사건을 넘어
조직이 앞으로 마주할 미래를 미리 규정합니다.
조직의 판단 기준이
여전히 “지금까지 괜찮았던 방식”에 머물러 있다면,
그 조직은 위험을 관리하는 미래가 아니라,
위험을 정상화하는 미래를 만들어가고 있는 셈입니다.
그래서 지금 필요한 것은 어림법을 없애자는 요구가 아닙니다.
그것은 현실적으로도 불가능합니다.
대신, 기업과 조직은
스스로에게 이런 질문을 던져야 합니다.
우리가 ‘관리 가능하다’고 말해온 리스크는
정말로 관리되고 있는가?
우리가 ‘예외’로 치부한 사고는
사실 반복되고 있지는 않은가?
우리가 당연하게 여겨온 대응 방식은
어떤 미래를 고정시키고 있는가?
정상적인 미래란
사고가 없는 상태가 아니라,
사고를 우연이 아닌 신호로 받아들이고
판단 기준을 바꾸는 휴리스틱의 전환으로부터 시작될 수 있습니다.