보안 전문가가 짚은 쿠팡 고객정보 유출 사고의 3대 쟁점 ‘키·내부자·셀프 포렌식’

“쿠팡의 개인정보 유출 사고와 조사에서 꼭 짚고 넘어가야 할 것은 키 관리 실패, 내부자 통제 실패, 셀프 포렌식입니다.”

김승주 고려대학교 정보보호대학원 교수는 6일 국회에서 열린 ‘쿠팡 해킹 및 개인정보 침탈 사고에 대한 국회 좌담회’에서 이렇게 강조했다. 이번 좌담회는 최형두 의원 등 6인 의원실과 국민의힘 과학기술정보방송통신위원회가 주최했다. 현장에서는 정부의 민관합동 조사단과 보안업계 관계자들이 참석해 쿠팡 사고의 기술적 결함과 조사 절차의 공백, 개인정보보호법 적용 쟁점, 민관합동조사 진행 상황 등을 논의했다.

키 관리 실패 “마스터키 복사 자체를 막았어야”

이날 발제를 맡은 김승주 교수는 쿠팡 사고의 출발점을 ‘프라이빗 사이닝 키(Private Signing Key, 개인서명키)’로 짚었다. 프라이빗 사이닝 키는 서비스가 사용자에게 ‘액세스 토큰(Access Token)’을 발급할 때 쓰는 서명용 키다. 액세스 토큰은 로그인 이후 일정 기간 추가 인증 없이 서비스 기능을 쓰게 해준다.

김 교수는 “전직 개발자가 마스터키로 불리는 이 프라이빗 사이닝 키를 복사해 외부로 가져간 뒤 대량의 액세스 토큰을 임의로 만들었다”고 설명했다. 그는 “이는 호텔 투숙객이 신분증을 제시하면 호텔이 숙박 기간 동안만 유효한 방키(액세스 토큰)를 만들어 주는데, 이 방키를 만들어주는 키가 프라이빗 사이닝 키다. 이 키를 직원이 복사해서 들고 나간 셈”이라고 비유했다.

이어 김 교수는 “프라이빗 사이닝 키를 관리했다는 것만으로는 안전하지 않다”며 “복사·반출 자체가 불가능하도록 설계해야 했다”고 강조했다.

이어 그는 ‘키 관리 체계(KMS, Key Management System)’와 ‘하드웨어 보안 모듈(HSM, Hardware Security Module)’도 함께 언급했다. KMS는 키의 생성·보관·교체 같은 수명주기를 관리한다. HSM은 키를 장비 내부에 격리해 외부 반출·복제를 기술적으로 막는 용도로 쓰인다. 김 교수는 “쿠팡의 키 보호 체계가 키 복사와 반출을 막는 통제 요건을 글로벌 표준 수준으로 충족했는지 여부가 과실 판단의 핵심이라고 본다”고 강조했다.

내부자 통제 실패 “권한·감사·기록이 마지막 문턱”

두 번째 쟁점은 ‘내부자 통제’다. 김 교수는 “인증 시스템을 다루는 내부자의 권한이 클수록 통제도 더 강해져야 한다”고 강조했다. 그는 ▲권한 분리(핵심 기능을 한 사람에게 몰지 않기) ▲접근 통제(접근 가능 인원·경로 최소화) ▲로깅·감사(누가 언제 무엇을 했는지 남기는 기록) 3가지가 내부자 사고를 줄이는 기본 전제라고 말했다.

이어 그는 “쿠팡은 국회 청문회 당시 마스터키에 접근 가능한 관리자가 10~20명 수준이라고 말했다”며 “접근 가능 인원이 적더라도 그 소수에 대한 통제·감사 체계가 허술하면 내부자 사고를 막기 어렵다”고 지적했다.

이와 관련해 민관합동조사단에 있는 이동근 KISA 디지털위협대응본부장은 “현재 주요 정보가 있는 시스템에 접근이 가능한 재직자에 대한 조사도 진행 중”이라며 “업무 행태와 정보 활용 흐름을 함께 보고 있다”고 설명했다. 다만 “퇴사자에 대한 조사는 권한상 한계가 있다”고 덧붙였다.

6일 국회에서 열린 ‘쿠팡 해킹 및 개인정보 탈취 사고’ 관련 좌담회 현장. 좌석은 왼쪽 두번째부터 과기정통부 정보보호네트워크정책실장 최우혁 과장, 고려대학교 정보보호대학원 김승주 교수, 한국인터넷진흥원 디지털위협대응본부장 이동근 본부장, 티오리 박세준 대표.

셀프 포렌식 논란 “증거 이미징 무결성, 조사 투명성 공백 우려”

김 교수가 짚은 세 번째 쟁점은 ‘셀프 포렌식 논란’이다. 김 교수는 디지털 포렌식에서 가장 중요한 점이 ‘증거의 무결성’이라고 강조했다. 무결성은 증거가 수집·이송·분석되는 과정에서 변조되지 않았다는 성질을 뜻한다.

그는 포렌식 현장에서 흔히 쓰는 ‘이미징(imaging)’을 언급했다. 이미징은 스마트폰·노트북 같은 저장매체의 데이터를 원본 그대로 복제해 분석하는 절차다. 김 교수는 “이미징은 단순 복사보다 한 단계 높은 포렌식 방식으로, 원본을 보존한 채 분석본을 만들어 검증 가능성을 확보하는 데 목적이 있다”고 설명했다.

김 교수는 쿠팡이 사고 초기 ‘자체 이미징’ 방식으로 자료를 확보해 제공한 흐름이 논란의 불씨가 됐다고 봤다. 그는 “기업이 자체적으로 이미징을 떠서 증거를 제출하면 이미징 과정에서 불리한 정보를 임의로 뺄 수 있는 가능성도 생긴다”며 “통상 이미징 과정에는 조사기관이 배석하고 절차 기록을 남겨야 지만, 쿠팡은 그렇지 않았다”고 지적했다. 이어 “국정원도 쿠팡으로부터 처음부터 이미징한 복제본을 받았다는 취지로 설명한 만큼, 이미징 과정의 투명성을 확인할 길이 없다”고 덧붙였다.

아울러 김 교수는 “민관합동조사는 전수조사가 원칙”이라며 “용의자 진술 중심으로 범위를 좁히면 추가 유출 가능성을 놓칠 수 있다”고 말했다. 그는 쿠팡이 제시한 ‘용의자가 유기한 가방과 노트북’이 사건의 본질을 가르는 핵심 증거가 아니라고도 했다. 전자기기는 공장 초기화 후 폐기하거나 물리적으로 파기하는 사례가 흔한 만큼, 단순 유기 정황만으로 증거 은폐를 단정하기 어렵다는 취지다. 김 교수는 “중요한 건 무엇을 버렸는지가 아니라, 증거 수집·이미징·검증 절차가 외부에서 신뢰할 수 있게 설계됐는지”라고 강조했다.

개인정보보호법 ‘위반·남용’ 쟁점도 제기

김 교수는 조사 기술과 절차와 별개로, 사고 대응 과정에서 개인정보보호법이 ‘보호 장치’가 아니라 ‘책임 회피의 근거’처럼 소비될 수 있다는 점도 문제로 삼았다. 그는 쿠팡의 사고 공지·대응 방식이 결과적으로 이용자의 판단과 대비를 어렵게 만들거나, 법 취지와 어긋나는 활용으로 비칠 여지가 있다고 봤다.

김 교수가 짚은 개인정보보호법 관련 쟁점은 크게 세 가지였다. 먼저 유출 통지·신고에서 어떤 정보를 개인정보로 보고, 유출 범위를 어디까지 잡았는지다. 김 교수는 쿠팡이 사고 초기에 안내한 유출 범위와 이후 추가로 확인돼 통지한 규모가 달랐던 점을 언급하며, 통지 범위가 좁게 설정되면 이용자가 체감하는 위험과 안내 내용 사이에 간극이 생길 수 있다고 봤다.

또 그는 사고 수습 과정에서 수집 목적과 무관한 방식으로 개인정보를 분석·활용하는 흐름이 생기면 목적 외 이용 논란으로 이어질 수 있다고 했다. 김 교수는 근로자 행동을 추적하려고 설치한 체계가 아닌데도, 사고 대응 과정에서 해당 데이터를 들여다본 경위가 거론된 점을 들어 ‘사고 대응‘이라는 명분이 목적 제한 원칙을 흐릴 수 있다고 지적했다.

마지막으로 김 교수는 ‘개인정보보호법상 제공 불가’라는 답변이 과도하게 반복될 경우 법이 권리 보호가 아니라 소통 차단 수단으로 비칠 수 있다고 말했다. 그는 쿠팡의 노동조합이 사망한 근로자의 장례식 장소를 문의했는데도 쿠팡이 “개인정보라 알려줄 수 없다”는 취지로 답한 사례를 언급하며, 정당한 사유가 있는 문의까지 거부하면 법 취지와 현장의 신뢰가 함께 흔들릴 수 있다고 했다.

지난해 12월 열린 쿠팡 국회 청문회 현장에서 최형두 의원이 해롤드 로저스 대표에게 질의하는 모습. (사진=국회방송)

조사단 “쿠팡의 클라우드 환경, 교차검증에 시간…일부 로그 삭제는 수사 의뢰”

한편 김승주 교수가 짚은 여러 쟁점에 대해, 정부 민관합동조사단은 조사 진행 상황과 지연 배경을 설명했다. 조사단은 먼저 조사 상황에 대해 “기업마다 IT 구조가 달라 조사 기간이 길어지고 있다”고 설명했다.

이동근 KISA 디지털위협대응본부장은 “통신사부터 플랫폼사(쿠팡)까지 조사를 해오고 있는데, 기업마다 다 시스템이 다르다”며 “쿠팡처럼 클라우드를 쓰는 환경에서는 장비를 확보해 분석하는 방식과 달리 로그 데이터를 보존하고, 처리 과정을 확인하는 절차가 별도로 필요하다”고 설명했다. 이어 “현재 투입 인력만으로 해결되지 않는 제약이 있어 교차검증에 시간이 든다”고 덧붙였다.

또한 쿠팡의 자료 제출과 관련해서는 “초반에는 느렸다가 국회 청문회 이후 속도가 높아졌지만, 결정적인 자료 제출이 더딘 면이 여전히 있다”고 말했다. 또한, 그는 “쿠팡이 자체로 위탁한 포렌식 결과가 있더라도 다시 검증해야 하는 절차가 필요하다”고 했다. 아울러 “일부 로그는 삭제한 정황이 있어 수사를 의뢰했다”며 “고의성 판단을 위해 수사기관과 협력해 진행하겠다”고 밝혔다.

추가로 쿠팡의 모의해킹 결과에 대한 점검 여부도 언급됐다. 이에 대해 이 본부장은 “최근 5년간 모의해킹 보고서 리스트를 받아 확인한 상황”이라며 “이번 사건과 연관성이 있는지, 모의해킹이 미진한 부분이 있었는지, 보고서에 있는 취약 지점을 임의로 고쳤는지도 확인 중”이라고 답했다.

최우혁 과기정통부 네트워크정책실장은 조사와 관련해 “SK텔레콤은 3개월, KT도 3개월 이상이 걸렸고 쿠팡도 신속하게 진행 중이지만 결과를 장담하기는 어렵다”며 “확인되는 대로 중요한 내용은 국민에게 알릴 예정”이라고 밝혔다.

최형두 의원은 “국민 중 성인 대다수가 개인정보를 탈취당해 어떤 피해가 들어올지 모르는데 정부가 몇 개월 째 아무런 발표도 없으니 국민이 답답할 수밖에 없다”며 “조사 결과를 단계적으로 나누거나 해서, 더 빠르게 국민에게 알려줘야 한다”고 강조했다. 이어 “조사 인력이 부족하면 국회에 협조를 요청해 조사를 앞당겨야 한다. 더 노력해달라”고 덧붙였다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network