[국회 현안질의] “쿠팡, 회사 망해도 될 수준”…총체적 보안관리 부실에 초강도 질타

국회 과방위 보안관리 실패, 사건 축소·허술한 대응지적, 역대 최대 과징금, 영업중지까지 고려해야

쿠팡(대표 박대준)에서 발생한 3370만명 개인정보 유출 사태를 두고 국회가 쿠팡을 향해 초강도 질타를 퍼부었다. 2일 열린 국회 과학기술정보방송통신위원회(위원장 최민희) ‘쿠팡 해킹 사태’ 관련 현안질의에서 의원들은 이번 사태가 단순 침해 사고가 아니라 ‘보안 거버넌스 전반의 붕괴’라고 평가하며 쿠팡 경영진에 대한 강도 높은 비판을 이어갔다.

이날 국회는 쿠팡의 보안 관리 실패와 사후 대응 부실, 피해 규모 축소 의혹을 집중적으로 추궁했다. 동시에 정부의 감독이 지연된 이유와 ‘정보보호 및 개인정보 보호 관리체계(ISMS-P)’ 제도의 허점을 지적하며, 이번 사태가 보안 시스템의 구조적 실패에서 비롯된 것이라고 평가했다.

특히, 의원들은 “이번 사건은 단일 기업의 사고가 아니라 국가 전반의 한국 디지털 보안 거버넌스의 구조적 붕괴를 보여주는 경고”라고 목소리를 높였다.

퇴직자 서명키 유출, 어떻게 가능했나

국회의 질타는 유출 사고의 핵심 원인을 정면으로 겨냥했다. 모든 문제의 출발점은 쿠팡 내부 인증 토큰을 생성하는 데 사용되는 핵심 서명키가 퇴직자의 손에 남아 있었다는 점이다.

브랫 매티스 쿠팡 최고정보보호책임자(CISO)는 “서명키의 유효기간은 일반적으로 2년 정도로 길게 유지되며, 개별 토큰은 몇 시간 단위로 만료되지만 키 자체는 수년 동안 유지된다”고 설명했다. 서명키는 토큰을 만들어내는 ‘원본 열쇠’ 역할을 하기 때문에, 이 키가 외부로 유출되면 공격자는 정상 이용자로 위장한 토큰을 계속 생성하며 내부 시스템에 접근할 수 있게 된다.

이어 왜 5개월 동안 침해를 탐지하지 못했는지에 대한 질문이 이어지자, 메티스 CISO는 “공격자가 서로 다른 IP와 서로 다른 소스에서 접근해, 접근량이 보안관제 임계치 아래로 분산됐다”며 “임계치 아래에서 움직인 패턴이라 탐지가 되지 않았다”고 답변했다.

이 답변은 쿠팡이 단순 횟수 기반 임계치에 의존하는 관제만 운영했을 뿐, 접속 위치·계정 특성·행위 패턴 등을 종합적으로 분석하는 행위기반 탐지나 비정상 패턴 기반 차단 시스템을 사실상 제대로 갖추지 못했다는 의미이기도 하다.

의원들은 “40조원 매출을 올리는 인터넷 플랫폼 기업이 이런 수준의 탐지 체계를 갖고 있었다는 건 상상하기 어렵다”며 “탐지 시스템이 부재했다고 봐야 한다”고 평가했다.

브랫 매티스 쿠팡 CISO가 2일 열린 쿠팡 해킹 사태 관련 국회 과방위 현안질의에서 답변하고 있다. (사진=국회방송)

메티스 CISO는 “만약 이번 공격이 퇴직자 소행이라면, 퇴사 전 근무 중에 프라이빗 키(데이터를 암호화하거나 시스템 접근을 위한 자격을 증명할 때 사용하는 가장 핵심적인 비밀 키)를 탈취했을 가능성이 크다”고도 밝혔다. 이는 쿠팡의 퇴직자 접근권한 회수 절차가 문서상으로만 존재하고 실제로는 민감한 키·계정에 대해선 제대로 작동하지 않았음을 드러낸다.

이정헌 더불어민주당 의원은 퇴사 시점과 첫 침해 시점 사이의 간격을 다시 짚으며 “퇴사 처리와 동시에 인사(HR) 시스템이 IT·보안 시스템과 자동 연동돼 계정과 키가 즉시 잠겨야 한다”고 강조했다. 하지만 박대준 대표는 퇴사 이후 실제 서명키를 언제, 어떤 절차로 회수·폐기했는지에 대해서는 명확한 답을 내놓지 못했다.

최초 인지 과정도 허술, 국회 내부자 위협을 막을 생각 없었다” 비판

국회는 이러한 탐지 부재가 단순 기술적 실수에 그치지 않고, 보안 거버넌스 실패라고 규정했다. 노종면 더불어민주당 의원은 “138일 동안 동일 유형 개인정보 조회가 반복됐는데 임계치 아래라서 몰랐다는 건 사실상 탐지 시스템이 없다는 뜻”이라며 “내부자 위협을 전제로 한 보안 설계 자체가 빠져 있었다”고 비판했다.

이와 관련해 메티스 CISO는 “퇴사와 동시에 모든 접근권한은 삭제되는 것으로 알고 있다”고 설명했지만, 이주희 의원은 “퇴직 즉시 계정을 잠그는 것은 ISMS-P 기준에도 명확히 규정된 기본 사항”이라며 “그런데 퇴사자가 몇 달간 키를 보유해 침해를 계속했다는 것은 기본적인 보안 통제조차 작동하지 않았다는 뜻”이라고 반박했다.

공격자로 추정되는 퇴직자는 지난해 12월에 회사를 떠난 것으로 확인됐는데, 첫 침해는 올해 6월 24일 발생했다. 이정헌 의원은 “퇴사 후 6개월이 지나도록 키가 유효했다는 건 키 수명 관리와 회수·재발급 체계가 사실상 존재하지 않았다는 의미”라고 지적했다. 이어 “퇴사자 관리·키 관리·탐지 체계가 서로 연결되지 않은 채 각자도생 형태로 운영돼 왔다는 것은 내부 통제 붕괴”라고 규정했다.

이번 사건이 처음 드러난 경위도 거론됐다. 쿠팡이 내부에서 이상 징후를 탐지한 것이 아니라, 공격자가 고객에게 “당신의 정보를 갖고 있다”는 취지의 이메일을 보내고, 이를 수신한 고객이 신고하면서 비로소 침해 사실이 드러났기 때문이다.

박대준 쿠팡 대표는 “고객이 이메일을 보고 이상하다고 생각해 문의했고 그제서야 내부 조사를 통해 사건을 인지했다”고 설명했다. 이에 대해 박충권 국민의힘 의원은 “이런 유형은 전형적으로 금전 갈취 목적의 협박이거나, 정보 자체를 활용한 심리전·여론 교란을 노린 행위일 수도 있다”며 “사이버안보의 측면에서 국가 배후 공격 가능성도 배제해선 안 된다”고 지적했다.

정부와 쿠팡 모두 구체적 배후에 대해서는 “현재로서는 단정하기 어렵다”고 선을 그었지만, 국회는 “민관합동조사단과 국가정보원, 경찰이 함께 국가 차원의 배후 가능성까지 포함해 전방위로 조사해야 한다”고 주문했다.

유출 아니라 노출? 사건 축소·회피 의혹 제기국민 우롱한 수준

쿠팡이 사건 초기 4536건의 계정에만 접근했다고 발표했다가, 이후 3370만명 유출로 정정한 부분도 집중 추궁을 받았다. 의원들은 “자릿수가 다른 수백만배 차이인데, 어떻게 이런 초기 오류가 발생했느냐”고 따져 물었다.

메티스 CISO는 “고객 신고(VOC)를 통해 일부 데이터가 외부에 나갔을 수 있다는 사실을 먼저 알게 됐고, 초기에는 그 고객과 관련된 데이터셋 위주로만 조사를 진행했다”며 “이후 전체 로그를 확인한 결과 훨씬 더 많은 데이터가 대상이 됐음을 뒤늦게 파악했다”고 해명했다.

2일 열린 국회 과방위 쿠팡 해킹 사태 현안질의에서 황정아 의원이 띄운 자료 화면. (사진=국회방송)

하지만 의원들은 “사건 인지 초기부터 전면 로그 분석에 들어갔어야 하는 상황에서 일부 데이터만 보고 성급하게 발표했다”며 “사실상 축소 보고와 다름없다”고 비판했다. 특히 초기 신고 내용이 향후 과징금 산정과 법적 책임 판단의 기준이 되는 만큼, “기업이 의도적으로 최소치만 먼저 내놓은 것 아니냐”는 의심도 제기됐다.

또한, 쿠팡이 고객 안내문과 공지에서 일관되게 ‘유출’이 아니라 ‘노출’이라는 표현을 사용한 것도 강한 비판을 받았다. 이주희 더불어민주당 의원은 “쿠팡이 이미 내부적으로 침해 사고로 인지하고 당국에 신고까지 해놓고, 대외 안내에서는 ‘노출’이라고 표현한 것은 3370만명 고객을 상대로 한 기만 행위”라고 말했다. 노출이라는 표현을 사용해 법적 책임을 피하려 했다는 지적이다. 배경훈 과기정통부 장관 역시 “이번 사태는 명백한 개인정보 유출 사고”라고 동의했다.

쿠팡이 사과문을 메인 화면에서 이틀 만에 내려버린 행동도 ‘축소·은폐’라는 비판을 피하지 못했다. 사고 직후 잠시 상단에 걸렸던 사과문과 안내문은 며칠 지나지 않아 사실상 눈에 띄지 않는 메뉴로 내려갔다.

이와 관련해 최수진 국민의힘 의원은 “수천만명 피해 사과문이 배너처럼 잠깐 떴다 사라지는 방식으로 처리된 건 책임 있는 기업 태도라고 보기 어렵다”고 지적했다.

정부는 뭐하나ISMS-P 인증은 형식적 서류 심사’ 반복 지적

정부의 대응 지연과 부처 간 역할 혼선도 도마에 올랐다. 쿠팡이 11월 19일 사고를 신고한 뒤, 민관합동조사단이 공식 구성된 것은 11월 30일이었다. 중간 열흘 넘는 공백에 대한 비판이 쏟아졌다.

배경훈 장관은 “고객 정보 무단 조회를 차단한 이후여서 합동조사단 구성에 다소 시간이 소요됐다”고 설명했지만, 이주희 의원은 “매번 사고가 터진 뒤 뒤늦게 외양간을 고치는 뒷북 대응만 반복하고 있다”고 지적했다. 이상중 한국인터넷진흥원(KISA) 원장도 “업무 정의가 부처마다 나뉘어 있어, 사건별로 컨트롤타워가 달라지는 한계가 있다”고 인정했다.

이에 대해 배 장관은 “국가안보실을 중심으로 한 컨트롤타워 체계에서 2차 종합대책을 12월 중 발표하겠다”고 답했다.

정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 제도에 대한 회의론도 거셌다. 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 갱신했지만, 그 사이 네 차례 개인정보 관련 사고를 겪었다. 의원들은 “국가 인증을 받았다는 기업에서 사고가 반복된다면 인증의 실효성이 없다는 뜻”이라고 지적했다.

이상중 KISA 원장은 “지금까지는 서류 중심 심사가 많았던 것이 사실”이라며 “이번 사태를 계기로 현장 점검과 실제 운영 실태 확인 비중을 크게 늘리겠다”고 밝혔다. 이와 관련해 김승주 고려대학교 정보보호대학원 교수는 “심사 기간이 짧고 문서 검증 위주라, 실제 현장 보안 운영과 인증 결과 사이에 괴리가 생겼다”며 근본적인 제도 개편 필요성을 강조했다.

과징금 최대 4, 영업정지까지 고려해야시간 끌기 소송 방지해야

징벌적 과징금 등 사후 조치 논의도 이어졌다. 현행 법상 과징금 상한은 매출의 3%로, 쿠팡 매출을 기준으로 하면 약 1조2000억원 수준이다. 유럽식 10% 징벌률을 가정하면 최대 4조원까지 가능하다.

박정훈 국민의힘 의원은 “이 정도 규모면 전자상거래법상 영업정지도 검토 대상이 될 수 있다”고 강조했다. 박대준 대표는 “책임을 회피할 생각은 없다”고 답했다. 이에 대해 박 의원은 “기업이 소송으로 시간을 끌며 실질적 책임을 회피하지 못하도록 징벌적 손해배상과 집단소송제를 도입해야 한다”고 거듭 강조했다.

쿠팡 박대준 대표가 해킹 사태 관련 국회의 질의에 답변하고 있다. (사진=국회방송)

배경훈 장관은 “앞서 여러 사건에서도 논의된 것처럼 징벌적 과징금으로 기업 책임을 높이기 위한 법적 기반을 마련하기 위해 조속히 움직이고 있다”고 덧붙였다.

퇴사-IT-보안 시스템 자동 연동필요

이정헌 의원은 “퇴사 처리와 동시에 HR 시스템과 계정·권한 관리 시스템, 키 관리 시스템이 자동 연동돼야 한다”며 “쿠팡에는 이런 구조가 사실상 없었다”고 지적했다. 과기정통부, 개인정보위, KISA 측 모두 이에 전적으로 동의했다.

이어 이 의원은 “이 정도 대규모 유출이면 다크웹에서 국민 정보가 거래될 가능성이 매우 높다”고 경고했다. 개인정보위는 “내년부터 부처 간 공조 체계를 강화해, 불법 유통 탐지·차단·삭제 체계를 고도화하겠다”며 다크웹 모니터링과 국제 공조를 병행하겠다고 밝혔다.

국회는 이번 사태의 구조적 원인이 퇴사자 관리 자동화 부재, 키 관리 체계 미비, 모니터링 체계 단절이 모두 겹친 결과라고 보고, 퇴사·전보가 많은 대형 IT 플랫폼에 대해 별도 기준을 두는 방안까지 검토해야 한다고 주문했다.

지금 당장 국민이 할 일은비밀번호 전면 변경부터 결제정보 해지

국민이 당장 해야할 대응 방안과 관련해 김승주 교수는 실제 2차 피해 위험을 고려해 국민이 지금 당장 취해야 할 조치를 구체적으로 제시했다. 우선 쿠팡 비밀번호를 즉시 변경하고, 같은 비밀번호를 사용하는 이메일, 다른 쇼핑몰, SNS 등 모든 계정의 비밀번호를 함께 바꾸는 것이 필요하다고 설명했다.

쿠팡에 등록된 카드와 계좌 등 결제수단은 한 번 삭제한 뒤 다시 등록하는 방식으로 정리하고, 일회용비밀번호(OTP)나 2단계 인증 수단도 재설정하는 편이 안전하다고 조언했다. 또한 최근 접속 기록에서 자신이 사용하지 않은 낯선 단말기나 해외 IP 로그인 흔적이 있는지 수시로 확인해야 한다고 강조했다.

류제명 과기정통부 제2차관도 “정부가 개인정보위, 경찰청과 함께 국민 대상 긴급 안내를 준비 중”이라며, 비밀번호 변경, 스미싱 주의, 의심 연락 신고 방법 등을 담은 통합 메시지를 조만간 발송하겠다고 밝혔다.

현재 과기정통부 민관합동조사단과 경찰청, 개인정보위는 조사에 착수해 침해 기간과 유출 범위, 축소 의혹, 내부자 개입 여부, 국가 배후 공격 가능성 등을 전방위로 조사하고 있다.

한편, 이재명 대통령은 이번 사태에 대해 엄중 조치하라고 지시했다. 이 대통령은 2일 국무회의에서 “피해 규모가 약 3400만건으로 방대하지만 처음 사건이 발생하고 5개월 동안 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다”며 “이 정도인가 싶다”고 지적했다. 이어 “사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야겠다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.