투데이e코노믹 = 박재형 기자 | 신세계그룹에서 발생한 대규모 개인정보 유출 사건은 단순한 보안 사고를 넘어, 대기업의 위기 대응과 책임 의식이 어디까지 무너질 수 있는지를 보여주는 사례로 남을 가능성이 크다. 본사와 협력사 직원 등 8만여 명의 정보가 유출됐다는 사실보다 더 심각한 문제는, 이를 인지하고도 이틀 뒤에야 신고하고 지금까지도 핵심 경위를 공개하지 않고 있다는 점이다.

신세계 IT 계열사 신세계I&C는 이번 사건과 관련해 “피해자 신분으로 경찰 조사에 협조하고 있다”고 강조한다. 그러나 정작 피해를 입은 직원들과 사회가 알고 싶은 질문에는 침묵으로 일관하고 있다. 악성코드 감염이라는 표현만 반복할 뿐, 내부 소행인지 외부 해킹인지, 어떤 시스템과 경로를 통해 정보가 빠져나갔는지에 대해서는 “조사 중”이라는 말로 답변을 회피하고 있다.

보안 사고에서 ‘조사 중’이라는 말은 일정 기간 필요할 수 있다. 그러나 정보 유출을 인지한 시점이 지난 24일이고, 한국인터넷진흥원(KISA)에 신고한 시점이 26일 오후라는 점을 고려하면, 이번 대응은 지나치게 느리고 소극적이었다는 비판을 피하기 어렵다. 특히 대외 공지가 금요일 오후 6시 이후 이뤄졌다는 점은, 사건을 최대한 눈에 띄지 않게 넘기려 했다는 의심마저 낳고 있다.

더 큰 문제는 책임의 방향 설정이다. 신세계는 스스로를 ‘피해 기업’이라고 규정하지만, 보안과 개인정보 보호는 외주나 계열사로 떠넘길 수 있는 사안이 아니다. 내부 인트라넷 시스템에서 발생한 사고라면, 관리 책임은 결국 그룹 전체의 거버넌스와 통제 체계로 귀결된다. 피해자가 있다는 이유로 책임 주체가 사라지는 것은 아니다.

최근 대한항공과 아시아나항공의 사례와 비교하면 신세계의 대응은 더욱 대비된다. 두 항공사는 해외 서버 해킹으로 개인정보가 유출되자, 당일 또는 다음 날 긴급 통지와 설명에 나섰다. 반면 신세계는 경찰 신고는 “의무 사항이 아니다”라는 이유로 하지 않았고, 유출된 직원 구성과 비율조차 공개할 수 없다고 밝혔다. 법적 최소 기준만 지키면 된다는 태도라면, 기업의 정보보호 책임은 공허한 구호에 불과하다.

이번 사고로 유출된 정보가 고객 정보가 아니라는 점을 강조하는 태도 역시 문제다. 고객이 아니면 직원과 협력사의 개인정보는 덜 중요하다는 인식이 깔려 있는 것처럼 보이기 때문이다. 대기업의 내부 시스템을 믿고 정보를 맡긴 이들이 바로 임직원과 협력사라는 점에서, 이번 사고는 신세계 조직 내부의 신뢰를 흔드는 사건이다.

디지털 전환과 데이터 기반 경영을 외치면서 보안 사고 앞에서는 침묵과 지연으로 일관하는 모습은, 한국 대기업의 취약한 보안 문화와 위기 대응 인식을 그대로 드러낸다. 사고 자체보다 더 큰 타격을 주는 것은 ‘사후 대응’이라는 사실을 신세계는 아직 깨닫지 못한 듯하다.

지금 필요한 것은 “조사 중”이라는 말이 아니라, 무엇을 알고 있고 무엇을 모르며, 언제까지 어떤 정보를 공개할 수 있는지에 대한 명확한 로드맵이다. 또한 재발 방지를 위한 기술적·조직적 대책과 함께, 그룹 차원의 책임 있는 사과가 뒤따라야 한다.

보안 사고는 어느 기업에서나 발생할 수 있다. 그러나 그 사고를 어떻게 대응하느냐에 따라 기업의 신뢰 수준은 완전히 달라진다. 신세계가 이번 사태를 단순한 IT 사고로 축소하려 한다면, 시장과 사회는 그보다 훨씬 더 큰 신뢰의 대가를 요구하게 될 것이다.