logo
아티클
밋업
컨퍼런스
커뮤니티
쿠팡 사태로 본 HR의 정보보호 책임

쿠팡 사태로 본 HR의 정보보호 책임

개인정보 유출 사고가 HR에게 남긴 과제
교육인사기획기타미드레벨시니어리더임원CEO
동이
동동이Dec 17, 2025
10917

최근 쿠팡에서 약 3,370만 명 규모의 개인정보 유출 사고가 발생했다.


사고 규모 자체도 적지 않지만, 이 사건이 조직에 던지는 메시지는 단순한 보안 이슈를 넘어서는 것으로 보인다.
특히 HR 관점에서는 이 사태를 ‘정보보호에서 HR의 책임이 어디까지인가’라는 질문으로 다시 바라볼 필요가 있다.

그동안 개인정보 유출 사고는 주로 IT 보안, 시스템 취약점, 해킹 대응 역량의 문제로 논의돼 왔다.


그러나 이번 사태는 기술적 투자 수준과 무관하게, 사람을 관리하는 체계가 보안의 핵심 변수가 될 수 있음을 보여준다.

충분한 기술 투자, 그 다음 단계의 질문

쿠팡은 국내 유통기업 중에서도 IT와 정보보호에 대한 투자를 적극적으로 진행해 온 기업이다.
대규모 IT 인프라와 보안 예산을 고려하면, 이번 사고를 단순히 “투자가 부족했다”고 해석하기는 어렵다.

이 점은 오히려 다른 질문을 떠올리게 한다.

기술과 시스템이 일정 수준 이상 갖춰진 이후,
조직의 정보보호 수준을 결정짓는 요소는 무엇인가

잘 생각해보면, 답은 점점 분명해지고 있는 것 같다.


정보를 다루는 사람, 그리고 그 사람을 관리하는 방식이다.

데이터 중심 조직에서 바뀐 정보보호의 구조

오늘날 기업의 정보는 대부분 디지털 자산으로 관리된다.

  • 클라우드와 ERP를 통해 실시간으로 공유되고

  • 마케팅, 영업, 인사, 운영 등 여러 부서가 동시에 접근하며

  • 개인 계정과 권한을 기반으로 업무가 수행된다

이 환경에서 정보보호는 더 이상 시스템 내부에만 머무르지 않는다.


누가 어떤 권한을 가지고, 언제까지 접근할 수 있는지를 관리하는 것이
보안 수준을 좌우하는 핵심 요소가 된다.

즉, 정보 보호는 기술의 영역이면서 동시에 사람 관리의 영역이 되었다.

이번 사태가 보여준 관리 포인트

이번 쿠팡 사고와 관련해 지적된 주요 원인 중 하나는
퇴사자에 대한 접근 권한 회수 과정의 관리 미흡이었다.

이는 특정 기업에만 국한된 문제가 아니다.
과거에도 유사한 유형의 사고는 반복돼 왔다.

  • 카드 3사 개인정보 유출(2014): 외부 인력이 고객 정보 무단 반출

  • Shopify 내부자 사고(2020): 내부 직원의 데이터 부정 취득

사례는 다르지만, 공통적으로 드러나는 특징은 명확하다.
정보보호 사고의 상당 부분은 ‘사람 관리의 공백’에서 시작된다는 점이다.

HRD 관점에서 본 기존 접근의 한계

많은 조직에서 개인정보보호 교육은
법에서 요구하는 최소 기준을 충족하는 방식으로 운영된다.

  • 연 1회 정기 교육

  • 이수 여부 중심의 관리

  • 실제 업무 상황과는 다소 거리가 있는 콘텐츠

이 방식은 기본적인 인식 제고에는 도움이 되지만,
데이터를 일상적으로 다루는 현실을 반영하기에는 충분하지 않다.

이번 사태는
형식적 교육만으로는 조직의 정보보호 리스크를 관리하기 어렵다는 점을 다시 한번 확인시켜 준다.

HR이 바라봐야 할 정보보호의 세 가지 책임

① 정보보호는 전 직원의 기본 역량이라는 인식 정립

데이터는 특정 부서에만 존재하는 것은 아니다.
따라서 보안 역시 특정 부서의 책임으로 한정하기 어렵다.

HR은 전 직원이 자신의 업무 맥락에서
어떤 정보에 접근하고 있으며, 어떤 책임을 지는지 인식하도록
교육 체계를 설계할 필요가 있다.

② 퇴사 프로세스를 보안 관점에서 재정의

퇴사 절차는 단순 행정이 아니라,
조직의 정보 자산을 안전하게 회수하는 중요한 단계다.

HR은

  • 데이터 접근 권한 회수

  • 계정 정리

  • 데이터 인수인계

이 과정들이 급여 정산이나 출입증 반납만큼 중요하다는 점을
명확히 기준화하고, 실무에 반영해야 한다.

③ 정보보호를 윤리의 문제로 다루는 교육

정보 유출은 기술적 사고를 넘어
조직 신뢰와 고객 보호에 직결되는 사안이다.

인사 뿐만 아니라 교육에서는 정보보호를
‘규정 준수’ 차원이 아니라
조직 구성원의 윤리적 책임과 판단의 문제로 다룰 필요가 있다.

마무리하며

이번 쿠팡 사태는
특정 기업의 사례를 넘어, 데이터 중심 조직이 공통적으로 안고 있는 과제를 보여준다.

기술은 점점 정교해지고 있지만,
사람을 관리하는 체계는 그 속도를 따라가고 있는가

정보보호는 더 이상 IT 부서만의 책임이 아니다.
그리고 그 경계에 있는 역할을 수행하는 부서가 바로 HR이다.

이번 사태가
HR이 정보보호의 책임 범위를 다시 정의하고,
사람 관리 관점에서 보안을 설계하는 계기가 되기를 기대해본다.

동이
동동이

댓글0

댓글이 없습니다. 첫 댓글을 남겨보세요.
(주)오프피스트 | 대표이사 윤용운
서울특별시 서초구 사임당로8길 13, 4층 402-엘179호(서초동, 제일빌딩)
사업자등록번호: 347-87-03493 |
통신판매업신고번호: 제2025-서울서초-2362호
전화: 02-6339-1015 | 이메일: help@offpiste.ai
About
개인정보 처리방침
서비스 이용약관