3370만건 고객정보 털린 쿠팡, 뭐가 문제였을까?

국내 최대 이커머스 플랫폼 쿠팡에서 약 3370만건의 고객 개인정보가 무단 유출된 사실이 확인되면서 정부가 민·관합동조사단(이하 조사단)을 꾸려 전면 조사에 나섰다.

쿠팡에서 유출된 정보의 규모는 최초 신고 당시 4500여건 수준으로 알려졌으나, 조사 과정에서 3370만건까지 확대됐다. 침해 경로 역시 외부 해킹보다는 퇴사한 직원 소행이라는 데 무게가 실리고 있다. 사실이라면 퇴사자의 계정과 접근권한을 장기간 그대로 방치해, 경제활동이 가능한 우리나라 국민 대다수의 소중한 개인정보가 유출되는 피해를 입힌 심각한 사건이다. 이커머스 업계를 통틀어 정보보호에 가장 많은 금액을 투자한다고 공시했던 쿠팡이 가장 기본적인 ′인적·관리적 보안′에는 소홀했다는 것이 드러났다. 부실한 인사 조직 및 내부보안 운영관리 체계가 큰 화를 부른 셈이다. 정부와 국회, 보안업계 전문가들 사이에서 이번 쿠팡의 고객정보 유출 사고는 ‘관리적 통제 실패가 본질’이라는 의견이 나오고 있는 이유다.

6월부터 5달간 무단으로 접근

정부와 쿠팡의 설명을 종합하면, 이번 사고는 올해 6월 24일 해외 서버를 통한 무단 접근으로 시작된 것으로 파악됐다. 이에 쿠팡은 지난달 19일 한국인터넷진흥원(KISA)에 침해사고를 신고했고, 다음 날인 20일 개인정보보호위원회에도 개인정보 유출 신고도 제출했다. 당시 쿠팡이 자체적으로 파악한 피해 규모는 4536개 계정 수준이었다.

하지만 KISA가 현장 조사를 진행하면서 수천만 건의 대규모 추가 정보 조회 정황이 파악됐고, 쿠팡은 29일 다시 유출 신고를 제출했다. 정부는 “피해 범위가 최초 신고보다 대폭 확대됐다”며 과기정통부를 중심으로 조사단 가동을 발표했다.

조사단 발표 후 쿠팡은 30일 입장문을 통해 총 3370만개 계정에서 ▲고객 이름 ▲이메일 ▲전화번호 ▲고객이 등록한 여러 배송지 주소와 수령인 정보 ▲일부 주문 내역 등이 무단 조회된 사실을 인정했다. 반면 결제 정보, 신용카드 번호, 아이디·비밀번호 등 로그인 정보는 유출되지 않았다고 밝혔다.

정부가 30일 연 긴급 대책회의 직후 발표한 내용도 유사하다. 정부는 공격자가 쿠팡 서버의 인증 관련 취약점을 이용해 정상 로그인 과정 없이 다수 고객 정보에 접근한 것으로 추정된다고 설명했다. 이 같은 비인가 조회는 약 5개월 동안 지속됐다는 것이 정부의 분석이다.

퇴사한 인증 담당자지목, 인증키 관리·계정 회수 부실이 핵심 의혹

사고 원인을 둘러싼 여러 정보가 나왔지만, 현재까지 가장 유력한 원인은 쿠팡 인증 업무를 담당했던 전 직원이 퇴사 후에도 내부 시스템 접근권한을 유지한 채 정보 조회가 가능했다는 분석이다.

국회 과학기술정보통신방송위원회 최민희 위원장은 쿠팡으로부터 제출받은 자료를 근거로, “액세스 토큰 생성에 필요한 서명키가 퇴사 이후에도 갱신되지 않고 남아 있었다”고 주장하며 “장기 인증키 방치가 핵심 원인”이라고 강조했다.

AI 생성 이미지. 기사와 직접적 관련 없음.

이와 관련해 보안전문가들은 퇴사자 계정 관리·권한 회수 절차가 제대로 작동하지 않은 점이 본질이라고 입을 모은다.

곽진 아주대학교 사이버보안학과 교수는 “현재까지 나온 경위를 보면, 이 사건은 외부 침입이라기보다 퇴사 이후에도 계정에 접근할 수 있었던 것이 근본적인 문제”라며 “서명키를 개인이 물리적으로 들고 다니는 구조는 대형 IT기업에서 일반적인 방식이 아니다. 결국 문제는 퇴사자의 접근 자격을 제때 회수하지 않은 내부 관리 체계에 있다. 상식적인 보안 조치가 이뤄지지 않은 어이없는 사건이라고 볼 수 있다”고 지적했다.

아이덴티티 보안 전문기업 세일포인트 관계자는 “보통 인증 담당자는 일반 직원보다 훨씬 넓은 접근권한을 가지는 경우가 많다”며 “만약 (해당 직원이) 권한을 많이 가지고 있었다면, 이런 계정은 퇴사와 동시에 즉각 비활성화됐어야 하며 권한 회수 로그와 검증 절차가 남아 있어야 한다”고 지적했다. 이어 그는 “일반 사용자도 비밀번호를 주기적으로 변경하는데, 핵심 인증키가 수년 단위로 유지됐다면 기본적인 보안 관리 위반 가능성이 크다”고 덧붙였다.

김승주 고려대학교 정보보호대학원 교수는 이번 사건이 “정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 조항을 충족하지 못한 사례일 수 있다”고 지적했다. 쿠팡은 현재 ISMS-P 인증을 보유한 사업자로, 해당 인증은 기업이 정보보호·개인정보보호 체계를 일정 기준 이상 구축하고 운영하고 있음을 의미한다. 그럼에도 사고 과정에서 드러난 계정·권한 관리 부실은 인증의 핵심 요구사항을 제대로 이행하지 않았을 가능성을 보여준다.

김 교수는 특히 “퇴직·직무변경 시 정보자산 반납, 접근권한 회수·조정, 확인 절차를 지체 없이 수행하도록 규정한 ‘2.2.5 퇴직 및 직무변경 관리’ 조항이 제대로 이행되지 않은 것으로 보인다”며 “가장 기초적인 인적 보안 통제가 무너진 사례”라고 분석했다.

전문가들의 분석을 종합하면, 현재까지 드러난 가장 유력한 문제는 ▲퇴사자 계정 회수 누락 ▲장기 유효 인증키 운영 ▲접근권한 변경·폐기 절차 부실 ▲ISMS-P 관리적 조항 미준수 ▲이상 행위 탐지·로그 모니터링 부재 등 내부 통제 전반의 구조적 문제로 정리된다.

한편, 쿠팡 측은 현재까지 거론된 유출 원인과 관련해서는 공식적으로 파악된 사실은 없다고 밝혔다.

정부, 민관합동조사단 투입 ‘2차 피해 방지총력

과기정통부와 KISA, 개인정보위는 신고가 이뤄진 20일부터 쿠팡의 사고 원인과 정보 유출 경위 조사에 착수했다. 정부는 30일 긴급 대책회의를 열고 민관합동조사단을 즉시 투입한 상태다. 조사단은 이번 사고에서 쿠팡이 개인정보보호법상 접근통제·권한관리·암호화 등 안전조치 의무를 준수했는지 여부를 집중적으로 확인할 계획이다.

박용규 KISA 위협분석단장은 “내부자가 퇴사 후 외부인이 된 후 정보를 유출시켰다는 점에서 보면, 해킹 사고로도 볼 수 있다”며 “30일부터 본격적으로 조사를 시작한 단계라, 정확한 사건의 경위는 조사에서 밝혀질 예정”이라고 설명했다.

정부는 같은 날 이번 사고를 악용한 스미싱·보이스피싱 시도의 증가를 경고하며 대국민 보안 공지도 발표했다. 사고를 사칭한 환불 안내 문자, 검색광고 기반 피싱사이트, 원격제어 앱 설치 요구 등 다양한 공격 패턴이 소개됐고, 스마트폰 스미싱 확인 절차와 신고 방법도 자세히 안내했다. 아울러 향후 3개월 동안 인터넷·다크웹의 개인정보 유통 감시 강화 기간으로 지정했다. 유출된 주소·전화번호가 보이스피싱·금융사기에 악용될 가능성이 높다는 우려 때문이다.

쿠팡은 30일 박대준 대표 명의의 사과문을 발표하고 “6월부터 최근까지 고객 정보에 대한 무단 접근이 발생해 유감”이라며 “접속 경로 차단과 내부 보안 모니터링 강화를 진행했고, 외부 보안전문가와 함께 전면 재점검에 들어갔다”고 밝혔다.

한편, 쿠팡 고객들 사이에서는 정보 유출로 인해 발생한 것으로 추정되는 사례가 계속해서 공유되고 있다. 일부 언론에는 최근 국제전화로 쿠팡 결제 내역을 안내하는 인공지능(AI) 음성 사칭 전화가 걸려왔다는 제보가 있었고, 쿠팡 앱 로그인 기록에서 기기 정보가 ‘알 수 없음’으로 표시되는 사례도 온라인 커뮤니티를 통해 확산되고 있는 상황이다.

이와 관련해 쿠팡은 “현재까지 유출 정보를 악용한 2차 피해는 공식적으로 확인되지 않았다”면서도, 비정상 번호에서 발송된 문자나 전화에 유의해 달라고 당부했다.

한편, 이번 사건은 2011년 싸이월드·네이트에서 3500만건의 고객정보가 유출된 사건과 맞먹는 수준으로, 최근 발생한 정보 유출 사고 중에서는 가장 큰 규모다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.