영화 '설리 허드슨강의 기적'은 미국 사회가 항공 사고를 조사·기록하는 과정을 보여준다. 국가교통안전위원회(NTSB)는 청문회에서 사고 상황을 수차례 시뮬레이션해 설리 기장에게 묻고 또 묻는다. 허드슨강에 비상 착륙한 게 최선의 선택지였냐고. 실제로 NTSB는 6개월에서 2년 이상 조사를 거쳐 항공 사고 원인, 안전 권고 등을 담은 최종 보고서를 낸다.

영화가 떠오른 건 최근 쿠팡의 개인정보 유출 소식을 접하고 나서다. 부주의와 구조적 문제가 얽혀 큰 피해로 연결되는 보안 사고가 항공 사고와 오버랩됐다.

올해 쿠팡 말고도 여러 기업에서 크고 작은 보안 사고가 있었다. 그때마다 나온 수습책은 비슷했다. 사고가 발생한 곳뿐만 아니라 해당 업권 주요 기업들이 보안 실태를 점검하고, 보안 투자 확대를 공언했다. 보안 사고를 느슨해진 보안 인식을 다잡는 계기로 삼았다.

앞선 보안 사고와 달리 쿠팡을 향해 유독 무거운 책임론이 제기된다. 일상생활에 밀접한 서비스마저 보안을 걱정해야 한다는 불안감의 발로다. 그렇기에 계획된 적자를 각오하고 로켓배송 투자를 밀어붙였던 것처럼 이번 사고 수습 과정에서도 쿠팡은 뭔가 다르다는 걸 보여줘야 한다.

반복되는 보안 사고는 처벌 강화와 투자 증액만이 해법이 아니란 걸 보여준다. '최고의 창과 완벽한 방패는 없다'는 모순의 이치는 보안 인식에도 통용된다. 쿠팡이 무얼 해야 하는지는 항공 사고 이후 일련의 과정에 힌트가 있다. 이번 개인정보 유출 사태를 A부터 Z까지 정리한 보안 백서를 내는 건 어떨까.

쿠팡은 공격수인 레드팀과 수비수인 블루팀으로 나눠 사이버 보안 조직을 운영한다. 레드팀은 위협 행위자(Threat Actor)의 악의적인 활동을 시뮬레이션하고 블루팀은 보안 이상 징후를 탐지해 대응하는 역할을 주로 담당한다. 촘촘했던 감시망에 빈틈이 생긴 이유는 뭔지, 보안 조직을 감독하는 기능은 제대로 작동했는지 등을 기록으로 남기는 건 어떤 약속보다 강력한 재발 방지책이다.