이번 쿠팡 이슈는 표면적으로는 전직 엔지니어의 비정상적 접근과 고객정보 유출 가능성으로 알려졌다. 논의는 빠르게 개인의 도덕성, 내부자 위협, 관리자의 실수로 흘러갔으나, 시스템 안전 관점에서 보면, 이 사건은 개인의 일탈로만 설명되기에는 지나치게 구조적이다. 더 중요한 질문은 따로 있다.
왜 퇴사 이후에도 접근이 가능했는가? 그리고 왜 그 행위가 즉시 탐지·차단되지 않았는가?
이 질문은 특정 개인을 향하지 않는다. 오히려 조직이 어떤 도구를 선택했고, 그 도구에 어떤 판단을 맡겼으며, 어디까지 의존하기로 결정했는지를 정면으로 겨냥한다. 접근 권한 관리, 로그 수집, 이상 행위 탐지와 같은 시스템은 모두 “사람을 믿을 것인가, 도구를 믿을 것인가”라는 선택의 결과물이다. 그리고 그 선택은 종종 명시적으로 논의되지 않은 채, 당연한 전제로 굳어진다.
이 글은 그 전제를 해체하기 위해 ROTS(Reliance on Tools) 분석이라는 관점에서 출발한다. ROTS는 사고를 낸 사람을 찾는 분석이 아니다. 사고를 가능하게 만든 도구 의존 구조를 드러내는 분석이다. 쿠팡 사례는 그 구조를 설명하기에 충분히 현실적인 출발점이다. 여기서부터 우리는 “누가 잘못했는가”가 아니라, “무엇을 믿기로 선택했는가”를 묻는다.
ROTS(Reliance on Tools) 분석은 도구의 성능을 평가하는 기법이 아니다. 도구가 만들어내는 의존성을 분석한다. 한 번 선택된 도구는 설계 방법을 고정하고, 데이터 구조를 제한하며, 팀의 작업 방식과 의사결정 흐름까지 규정한다. 이 의존성이 검증 없이 축적되면, 기술 부채가 아니라 안전 부채(safety debt)로 전환된다. ROTS는 “도구가 있다”는 사실이 아니라, “도구가 무엇을 대신 판단하고 있는가”를 묻는다.
현대 시스템에서 접근 권한 관리, 로그 수집, 이상행위 탐지는 모두 도구가 판단을 대신한다. “퇴사 처리되면 접근은 자동으로 차단된다”, “이상 행위는 시스템이 잡아낸다”는 믿음은 결국 도구의 전제에 대한 신뢰다. 이번 사례가 시사하는 바는 분명하다. 도구가 정상으로 판단한 행위가, 실제로는 위험이었다면, 이는 사람의 일탈 이전에 도구 의존 구조의 실패다. 그래서 ROTS 분석이 필요하다.
2025년 쿠팡에서 발생한 개인정보 유출 사태는 단순한 보안 사고를 넘어, 대규모 플랫폼이 안고 있던 구조적 취약성을 드러낸 사건으로 평가된다. 사고는 2025년 6월경 시작된 것으로 추정되며 약 11월까지 수개월간 탐지되지 않았고, 초기에는 약 4,500개 계정 피해로 알려졌으나 추가 조사 결과 약 3,370만 명에 달하는 고객 정보가 영향을 받은 것으로 확대되었다. 유출된 정보에는 이름, 이메일, 전화번호, 배송 주소, 주문 이력 등 주요 개인정보가 포함되었으며, 금융 정보나 비밀번호는 유출되지 않았다고 발표되었지만, 해당 정보만으로도 스팸, 피싱, 사회공학적 사기 등 2차 피해 위험이 크게 증가했다. 사건 초기에는 외부 해킹 가능성이 거론되었으나, 이후 퇴사한 전·현직 엔지니어가 시스템 접근 권한을 유지한 채 활성화된 인증 토큰 등을 통해 데이터에 접근했을 가능성이 제기되면서 내부 통제 실패가 핵심 원인으로 부상했다. 이로 인해 고객의 신뢰는 급격히 하락했고, 일일 활성 사용자 수 감소, 경쟁사 사용자 증가 등 시장 반응도 즉각적으로 나타났다. 기업 차원에서는 CEO 사임, 수사 기관의 압수수색, 개인정보 보호법 위반에 따른 대규모 과징금 가능성, 집단소송과 국회 차원의 조사 논의까지 이어지며 사회적 파장으로 확산되었다. 종합하면 이번 사건은 외부 공격이나 개인의 일탈로만 설명될 수 없으며, 퇴사자 권한 회수 실패, 장기간 탐지되지 않은 이상 행위, 미흡한 로그·감사·접근 통제 등 조직적·구조적 문제들이 복합적으로 작동한 결과로, 대규모 시스템에서 보안과 안전이 기술 이전에 선택과 관리의 문제임을 다시 한번 명확히 보여주는 사례다.
Note. 정리
여러 보도와 조사 방향을 종합하면 다음과 같은 구조적 문제가 제기되고 있다:
내부자 접근권한의 잔존: 계정·권한(offboarding) 관리의 실패로 퇴사자에게도 시스템 접근 권한이 유지됐다는 의심이 제기됨.
모니터링·탐지 지연: 수개월간 유출이 감지되지 않았다는 점은 이상 행위 탐지 체계와 로그 분석 기능이 미흡했음을 시사한다.
내부 보안 통제의 취약: 기본적인 권한 통제, 감사(audit), 접근 로그 관리 등 내부통제가 충분하지 않았다는 지적이 나온다.
이번 쿠팡 개인정보 유출 사건을 ROTS 관점에서 바라보면, 문제는 단일 보안 솔루션의 부재가 아니라 조직이 선택한 도구와 그 도구에 맡긴 판단의 구조에 있었다. 첫 단계는 도구의 역할을 명확히 정의하는 것이다. 쿠팡과 같은 대규모 플랫폼에서는 IAM(계정·권한 관리), 퇴사자 오프보딩 자동화 시스템, 데이터 접근 로그, SIEM·UEBA 기반 이상 행위 탐지 도구가 모두 “이 사용자는 여전히 신뢰 가능한가”를 대신 판단한다. 이 순간부터 해당 도구들은 단순 지원 수단이 아니라, 시스템 안전을 좌우하는 핵심 ROTS 대상이 된다. 다음으로 의존성을 식별해야 한다. 퇴사라는 이벤트가 발생했을 때 모든 시스템에서 즉시 접근이 차단되도록 도구에 전면 위임했는지, 아니면 시스템별 수동 처리와 예외가 혼재되어 있었는지가 핵심이다. 만약 현재 권한 상태를 사람이 한눈에 파악할 수 없고 도구 없이는 이해조차 불가능했다면, 이미 조직은 높은 수준의 도구 의존 상태에 놓여 있었다고 볼 수 있다.
세 번째 단계는 안정성(Stability) 평가다. 퇴사라는 단일 이벤트가 데이터베이스, 로그 시스템, 내부 관리 도구 등 모든 영역에 동일한 기준으로 반영되었는지, 혹은 일부는 즉시 차단되고 일부는 지연되거나 누락되었는지를 점검해야 한다. 수개월간 접근이 가능했다면 이는 명백한 안정성 실패다. 네 번째는 신뢰성(Reliability) 검증이다. 정상 자격증명과 정상 네트워크, 기존 권한 범위 내에서 이루어진 접근이라면 대부분의 보안 도구는 이를 “정상 행위”로 분류한다. 쿠팡 사례처럼 도구가 구조적으로 잘못된 접근임을 스스로 인지하거나 경고할 수 없는 판단 구조였다면, 이는 도구의 신뢰성 한계가 그대로 노출된 것이다.
다섯 번째 단계는 유지성(Maintainability)이다. 특정 계정이 왜 그 권한을 갖고 있었는지, 언제 누구의 승인으로 부여되었는지에 대한 이력과 근거가 문서화되어 있었는지가 관건이다. 만약 해당 설정을 이해하는 담당자가 부재한 순간 통제가 불가능해진다면, 이는 유지성 실패로 이어진다. 마지막으로 가용성(Availability)을 확인해야 한다. 자동화된 계정 차단이나 탐지 도구가 오작동하거나 신뢰할 수 없는 상황에서, 보안 조직이 즉시 수동 차단·강제 회수로 전환할 수 있었는지, 아니면 도구 없이는 아무 판단도 내릴 수 없는 상태였는지가 중요하다. 쿠팡 사태는 이 모든 단계에서 도구의 판단을 지나치게 신뢰한 나머지, 잘못된 접근이 수개월간 ‘정상’으로 존재할 수 있었음을 보여준다. 이는 ROTS 분석이 왜 사후 대응이 아니라, 도구 선택 단계에서 반드시 수행되어야 하는지를 분명하게 드러내는 사례다.
Note. 정리:
1) 도구 역할 정의
IAM(계정·권한 관리), 퇴사 프로세스 자동화, 데이터 접근 로그, SIEM/UEBA 같은 이상행위 탐지 도구는 모두 “이 사용자는 믿어도 되는가”를 판단한다. 이 지점부터 핵심 ROTS 대상이다.
2) 의존성 식별
조직은 “퇴사 이벤트 → 즉시 전면 차단”을 도구에 위임했는가? 혹은 시스템별로 배치·수동 처리가 혼재했는가? 도구 없이는 현재 권한 상태를 사람이 이해할 수 없었다면 의존성은 이미 높다.
3) 안정성(Stability) 평가
퇴사라는 단일 이벤트가 모든 시스템에 일관된 기준으로 반영되는가. 실시간/지연/누락이 공존했다면 안정성 실패다.
4) 신뢰성(Reliability) 검증
정상 자격증명, 정상 네트워크, 기존 권한 범위 내 접근이라면 도구는 이를 “정상”으로 볼 수 있다. 틀렸음을 알릴 수 없는 판단 구조였다면 신뢰성 실패다.
5) 유지성(Maintainability) 평가
권한 부여의 이유와 이력이 문서화되어 있는가. 설정을 이해하는 사람이 사라져도 통제가 가능한가. 아니라면 유지성 실패다.
6) 가용성(Availability) 확인
자동화가 오작동할 때 수동 차단·강제 회수로 즉시 전환할 수 있었는가. 도구 없이는 아무 판단도 못 했다면 가용성 실패다.
이 시나리오의 핵심 결론은 단순하다. 악의적 행동이 문제가 아니라, 그 행동을 ‘정상’으로 처리한 도구 체계가 문제였다. 판단을 도구에 과도하게 위임했고, 그 전제와 한계를 충분히 인식·검증하지 않았다. 안전 부채가 현실화된 것이다.
즉시성 보장: 퇴사 이벤트의 전면·동기화 차단(모든 시스템에 원샷 반영).
이중 통제: 자동 차단 + 관리자 승인 기반의 수동 강제 회수 경로 확보.
행위 기반 탐지 강화: 자격증명 정상 여부가 아니라 행위 이상성 중심의 룰.
권한 최소화·만료: 상시 권한 제거, 임시 권한 자동 만료.
추적성 확보: “왜 이 권한이 존재하는가”를 설명하는 근거의 상시 기록.
정기 ROTS 재평가: 도구 업데이트·조직 변경 시 의존성 재점검.
이번 쿠팡 사례에서 핵심은 보안 도구의 수가 부족했느냐가 아니라, 도구가 대신하고 있는 판단의 범위를 어디까지로 설정했는가에 있었다. 쿠팡이 했어야 했던 것은 새로운 솔루션을 추가하는 일이 아니라, 퇴사 처리에 대한 단일하고 일관된 기준을 정의하고, 정상 행위로 위장된 이상 접근을 실패 신호로 드러낼 수 있도록 설계하며, 자동화가 깨지는 순간 즉시 개입할 수 있는 수동 안전장치를 마련하는 것이었다. 이 세 가지는 기술적 한계가 아니라 명백한 선택의 문제였고, ROTS 분석을 통해 사전에 충분히 식별 가능했던 영역이다.
시스템은 사람의 손으로 만들어지지만, 그 손이 무엇을 보고 어떻게 판단하는지는 결국 도구가 결정한다. ROTS 분석은 도구를 불신하자는 절차가 아니다. 도구가 만들어내는 전제와 한계를 충분히 이해한 이후에만 그 판단을 맡기기 위한 최소한의 책임이다. 이번 사건이 남긴 교훈은 분명하다. 시스템 안전은 언제나 기술의 문제가 아니라 선택의 문제이며, 그 선택의 출발점에는 늘 우리가 무심코 사용해 온 도구가 자리하고 있다.