쿠팡도 KT도 ‘인증 구멍’…IT 강국 민낯 ‘보안 불감증’ 도돌이표

by권하영 기자
2025.12.01 17:05:44

[이데일리 권하영 기자] 지난 8월 KT 펨토셀 해킹 사고의 원인이었던 ‘인증키 사각지대’ 문제가 쿠팡에서도 판박이처럼 재현됐다. 3370만 개인정보 유출 사태를 일으킨 쿠팡 역시 퇴사자 인증키를 방치해온 것으로 드러나며, 기본적인 접근권한 관리조차 소홀한 보안 불감증이 국내 기업들의 현주소라는 비판이 거세진다.

국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3천만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 이는 국내 성인 네 명 중 세 명의 정보에 해당하며, 사실상 쿠팡 전체 계정에 맞먹을 것으로 추정된다. (사진=연합뉴스)

1일 업계에 따르면 쿠팡은 이번 3370만 고객정보 유출과 관련해 내부 시스템 접근권한을 생성하는 ‘서명 인증키’를 부실하게 운영해온 것으로 알려졌다. 현재 정보 유출자로 추정되는 쿠팡의 전 인증 담당 직원이 퇴사 후에도 갱신되지 않은 인증키로 시스템에 접근할 수 있었던 것이다. 특히 인증키 유효 기간은 업계 통상적으로 5~10년씩 설정하고 있어 쿠팡 역시 장기 방치했을 가능성이 크다.

이는 지난 8월 발생한 KT 무단 소액결제 사고와 그대로 겹친다. 당시 불법 펨토셀(소형 기지국 장비)로 가입자 정보가 유출된 KT는 19만여 개 펨토셀이 모두 동일한 인증서를 사용했으며, 특히 인증서 유효 기간을 10년으로 설정해 인증 관리가 전반적으로 부실했던 것으로 드러났다. 이는 해커가 인증서 단 하나만 탈취해도 쉽게 복사해 내부망으로 연동할 수 있었던 결정적 경로가 됐다.

인증키는 내부 시스템 접속 권한을 생성할 수 있는 핵심 보안 장치로, 시스템에 드나들 수 있는 출입증(액세스 토큰)을 발급해주는 도장과 같다. 그만큼 해커들의 공격 우선순위기도 하다. 이 때문에 인증키를 주기적으로 교체하고, 구성원 이동이나 퇴사자 발생시 기존 권한을 즉시 말소하는 것이 기본적인 보안 원칙이다.

[이데일리 김정훈 기자]

그러나 보안 업계는 많은 기업에서 인증키를 허술하게 관리하고 있다고 말한다.



모 기업에서 정보보호책임자(CISO)를 지낸 한 보안 전문가는 “보통 인증키는 1년에 한 번씩은 바꿀 것을 권장하는데, 비단 쿠팡뿐 아니라 많은 기업들이 인증키를 자주 바꾸지 않는다”며 “인증키를 바꿀 때마다 해당 키에 연결된 시스템과 관리자 권한을 일일이 확인해야 하는 번거로움 때문”이라고 설명했다.

또 다른 보안 업계 관계자는 “관리자가 바뀔 때마다 유효 인증키와 접근 권한 정책을 자동으로 설정해주는 기술이 그리 어려운 기술도 아니다”라며 “결국 보안을 투자가 아닌 비용으로 보고 편의만 생각해 소홀히 하는 인식이 문제”라고 지적했다.

업계는 인증키 유효 기간을 대폭 단축하거나 OTP(일회용 비밀번호) 등 자동 갱신 형태로 관리 체계를 고도화할 필요가 있다고 제언한다. 실제 KT의 경우 펨토셀 해킹 사고 이후 긴급 보안 업데이트를 단행해 인증서 유효 기간을 10년에서 1개월로 단축하고, 개인키를 암호화해 저장하는 방식으로 접근을 제한한 상태다.

출입문 하나만 막으면 되는 과거 경계성 보안 모델에서 개별 시스템마다 접근권한을 촘촘히 설정하는 ‘제로트러스트’ 보안 모델로 서둘러 진화해야 한다는 지적도 나온다.

조영철 한국정보보호산업협회 회장은 “쿠팡도, KT도 고도화된 보안 위협을 막지 못한 게 아니라 결국 시스템 부재와 관리 소홀이 근본 원인”이라며 “모든 접근권한을 신뢰하지 않는 제로트러스트를 관리적 측면에서도 도입해야 한다”고 강조했다.