쿠팡 무슨 수로 뚫었나 봤더니…고객정보 문 열려있었다

[이데일리 권하영 기자] 3370만 명의 고객 정보가 유출된 이번 쿠팡 사태의 핵심 원인은 기업 내부의 통제 실패였다. 고객 정보가 보관된 서버를 여는 ‘열쇠(인증키)’가 퇴사자 계정에 그대로 남아 있었던 것이다. AI 시대에 고도화된 사이버 위협에 대비하겠다던 기업들이 정작 가장 기본적인 보안 관리조차 지키지 못한 현실을 되돌아봐야 한다는 지적이 나온다.

[이데일리 김정훈 기자]

[이데일리 이영훈 기자] 국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생한 가운데 30일 서울 시내 쿠팡 차량 차고지로 한 시민이 지나가고 있다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다.

1일 국회 과학기술정보방송통신위원회 소속 최민희 의원(더불어민주당)에 따르면, 쿠팡 고객 정보 유출 사건의 당사자는 퇴사한 쿠팡 인증 담당 직원으로 알려졌다. 내부 시스템에 접근하려면 ‘액세스 토큰’이라는 접근권한 증명서가 필요한데, 이는 인증 담당자가 서명 인증키를 이용해 일회용 출입증처럼 생성할 수 있다.

문제는 이 서명 인증키가 해당 직원의 퇴사 이후에도 삭제 또는 갱신되지 않은 채 방치됐다는 점이다. 조사 결과 쿠팡은 지난 6월 24일부터 해외 서버에서 비인가 접근이 지속된 사실을 확인했으며, 유출자는 남아 있던 유효 인증키로 액세스 토큰을 계속 발급해 시스템에 접근한 것으로 분석된다. 다만 쿠팡은 아직 내부자라고 특정하지는 못했다며, 서울경찰청 사이버수사대에 ‘신원불상자’로 고소장을 제출한 상태다.

유출 경로가 외부 해커가 아닌 내부자 소행으로 무게가 실리면서 쿠팡의 내부 관리 체계가 도마 위에 올랐다. 기본적인 보안 원칙인 퇴사자 인증키 즉시 말소조차 이뤄지지 않았고, 수개월간 이어진 비인가 접근을 감지하지 못했다는 점에서 총체적 관리 부실이라는 지적이 제기된다.

염흥열 순천향대 명예교수는 “비정상적인 접근이라면 흔적이 남았겠지만, 내부자가 정상 인증키로 접근했다면 모니터링에 잡히기 어려웠을 것”이라며 “정보 취급자는 망분리된 환경에서 정해진 단말로만 접근해야 하고, 대량 데이터 다운로드 시 트래픽 증가가 감지돼야 하는데 이러한 보안 관리가 제대로 작동하지 않은 점은 의문”이라고 말했다.

해당 인증키의 유효 기간이 최대 10년까지 설정돼 장기 방치된 점도 논란이다. 쿠팡은 이번 유출에 사용된 인증키의 정확한 유효기간을 밝히지 않았으나, 업계에서는 일반적으로 5~10년으로 설정된다는 설명이다. 한 보안 전문가는 “유효기간 자체가 문제라기보다, OTP처럼 매번 인증을 요구하는 방식이 최선”이라고 말했다.

보안 업계에서는 “사용자 인증 사고의 80%는 계정 관리 부실에서 비롯된다”며 “방치된 계정에서 유출된 데이터가 다크웹 등에 풀리면 다시 동일 기업을 공격하는 경로가 되는 경우가 흔하다. 접근권한 관리는 기술적으로 어렵지 않은데도 인식 부족으로 소홀히 취급되는 것이 문제”라고 지적했다.

한편, 쿠팡은 이번 사고로 3370만 개 고객 계정에서 이름, 이메일, 배송지 주소록(전화번호·주소 등), 일부 주문 정보가 노출됐다고 밝혔다. 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았으며 안전하게 보호되고 있다고 설명했다.

정부는 경찰 수사와 별도로 민간합동조사단을 구성해 조사를 진행 중이며, 과학기술정보통신부와 개인정보보호위원회는 안전조치 의무 위반이 확인될 경우 엄정 제재하겠다는 방침이다.

이찬진 금융감독원장이 최근 롯데카드와 쿠팡 등에서 잇따라 발생한 개인정보 유출 사건을 두고 금융회사의 보안 인식 부족을 강하게 질책했다. 이 원장은 1일 금감원 본원에서 열린 출입기자 간담회에서 쿠팡 사고에 대해 금융감독 대상은 아니라고 전제하면서도 “최근 사례를 보면 국내 보안 시스템 수준이 평균적으로 매우 낮다”며 “보안이 뚫리면 회사 존속 자체가 불가능한데 업계 전반의 인식이 지나치게 둔감하다”고 경고했다.