[빅데이터뉴스 김유승 기자] 최근 CJ그룹 계열사에서 보안 사고가 잇따르면서 그룹 내 IT·보안 계열사인 CJ올리브네트웍스의 역할이 한층 중요해질 전망이다. 특히 티빙이 이례적으로 그룹 IT 계열사 대신 외부 업체를 통해 정기 보안감사를 진행해온 사실이 드러나면서, 업계에서는 이번 사고를 계기로 CJ그룹이 CJ올리브네트웍스의 내부 보안 역량 활용을 확대할 가능성이 크다는 관측이 제기된다.

18일 보안업계에 따르면 온라인동영상서비스(OTT) 티빙은 지난 2일 외부 비인가 접근으로 인해 약 1300만 명의 회원 정보가 외부로 유출되는 사고를 겪었다. 아이디와 비밀번호는 물론 이름, 휴대전화번호, 환불 계좌번호 등 대규모 개인정보가 포함돼 현재 피해자 9만여 명이 집단 손해배상 소송에 나선 상태다.
CJ그룹 내 보안 악재는 이뿐만이 아니다. 지난달에는 한 텔레그램 채널을 통해 여성 직원 330여 명의 사진과 연락처 등 사내 정보가 유출돼 사측이 경위 파악과 내부 소행 여부 조사에 착수하기도 했다.

이처럼 보안 리스크가 커지면서 그룹의 전반적인 보안을 담당하는 CJ올리브네트웍스가 수행해야 할 역할의 비중도 커질 전망이다. 특히 티빙의 사례는 업계에서도 다소 이례적이라는 평가가 나오기 때문이다.

앞서 모회사인 CJ ENM의 경우 CJ올리브네트웍스로부터 보안 감사를 받아온 것으로 알려졌다. 반면 자회사인 티빙은 외부 업체를 통한 정기 보안감사를 택하며 독자적인 체계를 유지해 왔다. CJ올리브네트웍스가 계열사의 IT 인프라를 책임질 뿐만 아니라 '보안 취약점 진단 및 모의해킹' 솔루션도 제공하고 있다는 점을 고려하면, 이 같은 구조는 일반적이지 않다는 게 업계의 중론이다.

통상 관계사의 보안 업무는 해당 그룹의 IT 서비스·보안 계열사가 전담하는 경우가 많다. 타사에 소속되어 있다가 합병된 특수한 경우를 제외하면, 보안은 기업의 깊숙한 영역까지 관여해야 하기에 외부에 맡기기 쉽지 않은 분야이기 때문이다. 최근 특수관계인 간 거래를 엄격하게 심사하는 기조에 따라 경쟁입찰을 거쳐 외부 업체가 선정됐을 가능성도 배제할 수 없으나, 여전히 의아하다는 시각이 지배적이다.
실제로 CJ올리브네트웍스는 CJ제일제당, CJ ENM, CJ대한통운, CJ올리브영 등 그룹 내 주요 계열사와 대규모 거래를 이어오고 있다. 당기 기준 특수관계자 매출은 CJ제일제당이 952억 6652만원으로 가장 많았고, CJ ENM(869억 6163만원), CJ대한통운(772억 5500만원), CJ올리브영(611억 3160만원) 등이 뒤를 이었다. 지난해 기준 전체 매출 7948억원 가운데 약 5307억 원이 CJ그룹 계열사와의 거래에서 발생해 내부거래 비중이 66.8%에 달할 만큼 그룹 의존도가 높다. 이번 해킹 사고 발생 이후에도 CJ올리브네트웍스는 원인 분석과 시스템 점검 등 대응 과정에 참여하고 있다.

업계에서는 티빙이 외부 감사를 선택한 주요 배경으로 경쟁 입찰을 통한 비용 절감이 영향을 미쳤을 것으로 해석한다. 일각에서는 과거의 파트너십 이력이 영향을 미쳤을 것이라는 분석도 나온다. 티빙이 지난 2024년 한국프로야구(KBO) 리그를 중계할 당시 CJ올리브네트웍스와 협력했으나, 송출 과정 등에서 불거진 기술적 미숙 문제로 결국 계약 관계를 정리하고 외부 업체인 '앵커'와 새로운 협력 체계를 구축한 바 있다. 이러한 과거의 흐름이 보안 인프라 관리 체계의 외주화로 이어진 단초가 되었을 수 있다는 시각이다.

황용식 세종대 경영학과 교수는 "자체적으로 수행하는 보안 업무가 있음에도 특정 영역만 외부에 맡긴 것은 비효율적인 구조로 볼 수 있다"며 "이유를 추정해보자면 첫 번째로 비용 측면에서 외주를 주는 것이 더 효율적이라고 판단했을 가능성이 높고, 두 번째로는 해당 영역에 대한 전문성이나 내부 역량이 부족했을 가능성도 생각해볼 수 있다"고 분석했다.
그는 이어 "통신·보안·서버와 같은 핵심 인프라는 내부에서 직접 관리할 경우 통제력을 높일 수 있고 품질 관리 측면에서도 유리한 부분이 있다"며 "과거 카카오 먹통 사태를 비롯한 여러 사례를 통해 외주 운영의 한계가 드러난 만큼, 이번 사태를 계기로 그룹 차원에서 보안 체계를 재점검하고 제도적 보완에 나설 수 있어 보인다"고 말했다.

업계도 개인정보 유출로 인한 보안 사고 발생 시 기업 신뢰도와 브랜드 가치에 치명적인 손실을 입는 만큼, 안정성과 통제력을 우선하는 방향으로 보안 대책을 재정비할 가능성이 높다는 전망을 내놓고 있다.

SI업계 한 관계자는 "CJ그룹 차원에서 앞으로는 CJ올리브네트웍스를 더 적극적으로 활용하게 될 가능성이 있다"며 "보안은 민감한 영역인 만큼 관계사 내 IT 서비스를 담당하는 기업이 맡는 방식이 합리적이며, 외부로 나가 있던 일부 업무를 내부로 전환하는 것도 충분히 고려할 만한 선택"이라고 짚었다.

이어 그는 "만일 외부 감사를 진행한 것이 비용 문제였다면 보안 사고 발생 시의 막대한 파급력을 고려할 때, 그동안 효율성에 지나치게 무게를 둔 판단을 내렸던 것은 아닌지 되돌아볼 여지가 있다"고 덧붙였다.

김유승 빅데이터뉴스 기자 kys@thebigdata.co.kr