쿠팡에서 발생한 개인정보 3370만건 유출 사태가 단순한 내부 직원 일탈이 아닌 기본 보안 원칙조차 지키지 않은 조직적 관리 부실의 결과라는 지적이 거세다. 유통·테크 기업 특성상 데이터 의존도가 높은데도 불구하고 장기간 동안 인증 체계 관리에 소홀했다는 지적이다.
1일 국회 과학기술정보방송통신위원회 위원장인 최민희 의원이 쿠팡에서 제출받은 자료에 따르면 이번 유출 사태는 '서명된 액세스 토큰' 생성에 필요한 '인증키'의 장기간 방치가 주요 요인으로 지목됐다. 인증키는 데이터에 접근할 수 있는 일회용 출입증(토큰)을 찍어주는 '도장'(서명키) 역할을 한다.
쿠팡 측은 토큰 서명키 유효 인증 기간 관련해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”면서 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 답변했다.
하지만 최민희 의원실은 토큰 생성에 필요한 서명정보를 담당 직원 퇴사 시 삭제하거나 갱신하지 않고 이를 방치해 내부직원이 악용한 것이라고 파악했다. 로그인 시스템에서 토큰은 생성 즉시 폐기되는 구조인데도, 이를 생성하는 서명키를 갱신·삭제하지 않고 방치한 것이 취약점이었다는 것이다.
올해 하반기 발생한 KT 정보유출 사고와 판박이라는 지적도 나온다. 당시 KT 펨토셀의 관리·감독 부실 문제가 수면 위로 드러나면서 펨토셀 인증키 유효기간이 10년으로 밝혀졌다. 의원실은 쿠팡도 마찬가지로 장기 유효 인증키를 방치하고, 내부 직원이 이를 악용해 3370만건 개인정보를 탈취한 셈이라고 지적했다.
최 위원장은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”면서 “내부 직원의 일탈이 아니라 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다. 이어서 “정보기술(IT), 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다”고 강조했다.
쿠팡이 사고 발생 후 무려 5개월 동안 유출 사실을 감지하지 못한 점도 문제로 지적된다. 대형 플랫폼이 수억건의 민감 정보를 처리하면서도 장기 인증키를 방치한 것은 물론 이상 패턴을 감지조차 하지 못한 셈이다.
소비자 주문 내역은 물론 배송지·이용 패턴까지 고스란히 담긴 민감 정보가 외부로 흘러나가면서 2차 피해 우려도 커진다. 쿠팡이 '결제 정보'는 빠져나가지 않았다고 안내했지만, 최근 구매한 상품 목록만 봐도 건강 상태, 가족 구성, 경제 수준, 관심사 등 민감한 개인 정보가 자연스럽게 드러나기 때문이다. 스미싱, 스토킹, 보이스피싱 등 생활밀착형 범죄에 악용될 가능성도 배제할 수 없다.
한편 국회 과학기술정보방송통신위원회는 사태의 심각성을 고려해 2일 긴급 현안질의를 열기로 했다. 과기정통부·한국인터넷진흥원(KISA)를 비롯해 쿠팡의 경영진과 정보보안 책임자를 불러 유출 경위, 보안 관리 실태, 대응 과정 등을 집중적으로 점검할 예정이다.
윤희석 기자 pioneer@etnews.com
