“마스터키 복사로 모든 설명 끝”…청문회로 드러난 쿠팡의 ‘보안 구멍’ 3가지

약 3370만명의 개인정보가 유출된 초유의 ‘쿠팡 해킹 사태’의 원인은 고도화된 사이버 공격이 아니었다. 내부자가 시스템의 문을 여는 이른바 ‘마스터키(Master Key)’를 복사해 나갔고, 회사는 이를 통제하지 못했다. 여기에는 매출 대비 0.15%에 불과한 저조한 보안 투자도 영향을 미친 것으로 보인다.

17일 국회 과학기술정보방송통신위원회에서 열린 쿠팡 청문회는 ‘글로벌 테크 기업’을 자부하던 쿠팡의 보안 체계가 기본조차 지켜지지 않은 사상누각이었음을 여실히 보여준 자리였다.

청문회 내용과 보안 전문가들의 분석을 종합하면, 이번 사태의 핵심 원인은 ▲인증키 관리 허점 ▲내부자 통제 실패 ▲미비한 보안 투자 세 가지로 볼 수 있다.

퇴사자가 만능키 복사뚫려버린 셀링 툴’ API 가능성

이번 청문회에서 드러난 쿠팡 해킹의 가장 큰 원인은 공격의 도구가 다름 아닌 내부에서 유출된 ‘인증키(Credential Key)’였다는 점이다.

청문회에서 브랫 매티스 쿠팡 최고정보보호책임자(CISO)는 “전 직원이 재직 중 권한을 남용해 인증키를 복사했고, 퇴사 후 이를 악용해 웹 크롤링 방식으로 정보를 빼갔다”고 설명했다.

특히 이날 청문회에서는 퇴사한 직원이 단순 개발자가 아니라 ‘인증 시스템 개발’을 담당했던 사실이 확인됐다. 이준석 개혁신당 의원이 “소스코드를 짠 직원이 데이터베이스(DB) 접근 권한까지 가진 것이냐”고 추궁하자, 매티스 CISO는 “해당 직원은 멤버 인증 개발 담당자였다”며 “쿠팡은 마이크로서비스 아키텍처(MSA)를 사용하기 때문에, (탈취한) 크리덴셜을 가지고 애플리케이션 프로그래밍 인터페이스(API)에 접근하면 DB에 직접 접속 없이도 데이터를 가져갈 수 있다”고 설명했다. 내부자가 훔친 키 하나로 API를 통해 대량의 데이터를 긁어갈 수 있었던 것이다.

그렇다면 이 키는 어디에 쓰이는 것이었을까. 업계 전문가들은 쿠팡이 오픈마켓 특성상 외부 판매자(Seller)들을 위해 열어둔 ‘외부 연동형 API’였을 가능성을 제기한다.

쿠팡과 같은 타 국내 이커머스 기업에 종사하는 CISO는 이번 사태에 대해 “내부용 API가 아니라, 판매자들이 여러 오픈마켓(쿠팡, 네이버, 지마켓 등) 상품을 한 번에 관리하기 위해 사용하는 ‘셀링 툴’과 연동된 API가 뚫렸을 가능성이 있다”고 분석했다. 그는 이어 “쿠팡이 셀링 툴 업체 등에 API를 열어줄 때 부여한 인증키를 해당 개발자가 관리하다가 복사해 나갔을 가능성이 높다”고 덧붙였다.

아울러 그는 지난 국회 현안질의에서 이준석 의원이 제기한 “회원 식별 번호가 순차적(1, 2, 3…)으로 되어 있어 뚫렸다”는 주장에 대해서는 “그건 본질이 아니다”라고 짚었다.

이어 “대규모 트래픽을 초 단위로 처리해야 하는 플랫폼 기업 특성상 DB에 대한 효율적인 접근을 위해 숫자 형태의 식별 번호(Primary Key)를 쓰는 건 당연하다”며 “문제의 본질은 번호 체계가 아니라, 그 번호를 조회할 수 있는 ‘인증키’가 도난당해 무방비로 호출되었다는 점”이라고 강조했다.

 “개발자가 운영 데이터 넘봐무너진 직무 분리와 자산 관리

두 번째 원인은 보안 컴플라이언스의 핵심인 ‘직무 분리(Segregation of Duties)’ 원칙과 퇴사자 자산 관리의 실패다.

김승주 고려대학교 정보보호대학원 교수는 청문회에서 “개발자라 할지라도 운영 DB나 마스터키에 접근하지 못하게 통제하는 것이 글로벌 스탠다드”라며 “쿠팡은 개발 영역과 운영 영역이 완전히 분리되지 않은 것으로 보인다”고 분석했다.

실제로 앞서 언급된 것처럼, 인증 시스템 개발자가 DB 접근 권한 없이도 API를 통해 대량의 데이터를 호출할 수 있었던 구조 자체가 명백한 ‘내부 권한 통제 실패’라는 지적이다.

김 교수는 “쿠팡 측은 데이터가 암호화되어 있다고 해명하지만, 개발자가 운영 단계의 ‘만능키’를 복사해 나갈 수 있었고 이를 통해 보안 절차를 우회할 수 있었다는 점이 문제의 핵심”이라고 강조했다.

허술한 ‘퇴사자 자산 관리’ 문제도 도마에 올랐다. 시스템상 권한은 회수됐을지 몰라도, 개발자가 개인적으로 ‘복사’해 나가는 인증키 값에 대해서는 아무런 통제 장치가 작동하지 않았기 때문이다. 이에 대해 보안 전문가들은 “시스템 의존을 넘어, 주기적인 키 갱신과 이상 징후 탐지 같은 운영 보안이 필수적이었으나 쿠팡은 이를 놓쳤다”고 지적한다.

매출 30조 기업인데, 보안 투자 비중은 ‘0.15%’

청문회에서는 쿠팡의 보안 구멍이 결국 보안을 단순 ‘비용’으로만 여기는 경영진의 안일한 인식에서 비롯됐다는 지적도 제기됐다.

배경훈 장관은 “일반적으로 매출 대비 정보보호 투자를 5% 이상 해야 실질적인 성과가 나는데, 쿠팡은 투자가 적은 것으로 보인다”고 짚었다.

국회에 제출된 자료에 따르면, 지난해 쿠팡의 정보보호 투자액은 약 889억 원으로 금액 자체는 유통업계 상위권이지만, 매출액(약 31조 원) 대비 비중으로 환산하면 0.15~0.2% 수준에 불과하다. 이는 글로벌 기업 평균인 10%대는 고사하고, 국내 정보보호 공시 기업 평균인 6.28%에도 한참 못 미치는 수치다.

보안 인프라와 인력에 대한 투자가 뒷받침되지 않은 탓에, 브랫 매티스 CISO가 강조한 “모의훈련를 수행했고 외부 평가도 우수했다”는 해명은 그다지 설득력을 얻지 못했다.

김승주 교수는 “보안성이 높다는 외부 평가에도 불구하고 사고가 났다면, 조직이 매뉴얼대로 작동하지 않고 있다는 반증”이라며 “전면적인 재조사가 필요해 보인다”고 짚었다.

매출 10%’ 과징금 법안 상임위 통과쿠팡 ‘3조 폭탄경고등

그동안의 ‘솜방망이 처벌’이 사태를 키웠다는 비판 속에, 징벌적 과징금 등 강력한 제재도 예고됐다.

같은 날 국회 정무위원회는 전체회의를 열고 개인정보보호법 개정안을 통과시켰다. 이 법안은 개인정보 유출 등 중대하고 반복적인 위법 행위가 발생할 경우 과징금 상한을 현행 ‘전체 매출액의 3%’에서 ‘전체 매출액의 10%’로 대폭 상향하는 내용을 담고 있다.

만약 이 법이 현재 쿠팡에 적용된다면, 쿠팡의 연 매출(약 30조원)을 고려할 때 최대 3조원에 달하는 천문학적인 과징금 부과가 가능하다.

다만 송경희 개인정보보호위원장은 이날 청문회에서 “현행법상 이번 사태에 징벌적 과징금을 소급 적용하기는 어렵다”고 설명했다.

하지만 그는 “특별법 제정 시 가능성은 열려 있으며, 향후 유사 사고 방지를 위해서라도 강력한 법안이 필요하다”고 강조했다. 이번 사고는 개정 전 법률을 적용받아 상대적으로 낮은 과징금에 그칠 전망이지만, ‘쿠팡 방지법’이 본회의를 통과하게 되면 향후 유사 사고 발생 시 기업의 존폐를 위협할 수준의 제재가 가해질 수 있다는 것이다.

과기정통부는 연말까지 KT 소액결제 피해 관련 사고 조사를 마무리한 뒤, 쿠팡에 대한 고강도 현장 조사와 모의해킹 검증에 착수할 예정이다.

바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.