3370만명 규모의 쿠팡 개인정보 유출사고는 고도의 기술력에 따른 외부 해킹이 아닌 허술한 내부 관리 체계가 직접적인 원인으로 밝혀지고 있다. 200여명의 보안 조직을 갖추고도 반년 가까이 퇴사자의 무단 접근 사실을 감지하지 못했다.
개인정보 유출규모가 역대급인데다 최근 연이은 대형 해킹 사고로 정부가 과징금 제재 강화를 예고해왔던 만큼 쿠팡이 천문학적 과징금을 물게 될 것이라는 관측이 제기되고 있다.
이정렬 개인정보보호위원회 부위원장은 지난 2일 국회 과학기술정보방송통신위원회 쿠팡 침해사고 관련 현안 질의에서 “기존 처분은 작았다고 생각한다. 실정에 맞게 비례해 엄중하게 책임을 물을 방법을 적극 검토하겠다”며 역대급 과징금 제재를 예고했다.
ISMS-P 인증 갱신하고도… 퇴사자 ‘마스터키’ 회수 안 해 ‘구멍’
이 부위원장이 언급한 기존 처분은 2021년 쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 취득 후 발생한 사이버 침해사고에 대한 정부 과징금이다.
쿠팡은 ▲2021년 쿠팡이츠 배달원 13만5000여명의 개인정보 유출 ▲2023년 쿠팡 판매자 전용 시스템 ‘윙’ 내 주문자·수취인 2만2000여명 개인정보 노출 사고로, 총 16억원 규모의 과징금을 물었다.
쿠팡은 개인정보 침해사고를 겪었는데도 지난해 ISMS-P 인증을 갱신했다. 정부로부터 고객 정보를 안전하게 보호할 수 있는 최소한의 보안 관리 체계를 갖췄다고 공식적으로 공인받았다는 뜻이다.
하지만 쿠팡은 지난 6월 24일부터 지난 8일까지 5개월간 지속된 무단 접속을 탐지하지 못했다. 이 기간 공격자는 3000만건이 넘는 개인정보(고객명, 이메일, 배송지, 전화번호, 주소 등)를 무단으로 유출했으며, 쿠팡은 지난 16일 피해 고객의 신고를 받고서야 뒤늦게 사태를 인지했다.
이번 정보유출 사고의 직접적인 원인은 부실한 내부 관리 체계에 있었다. 지난해 12월 퇴사한 내부자가 예전 보유했던 키(Key)로 시스템에 접근할 수 있었다.
쿠팡 측은 “내부 프라이빗 사이닝 키(서명 키)가 유출됐으며 이 키로 서명된 위조 액세스 토큰으로 API 인증이 가능해졌다”고 시인했다.
서명 키는 시스템이 “정상 사용자가 맞다”고 판단하도록 토큰에 전자서명을 붙이는 데 쓰는 내부 비밀키를 말한다. 즉 공격자가 훔친 서명 키로 직접 출입증(토큰)을 발급해 정상적인 사용자인 척 시스템을 드나든 것이다.
김승주 고려대 정보보호대학원 교수는 “호텔 방 키(액세스 토큰)를 발급하는 비밀번호(서명 키)를 내부 개발자가 갖고 나간 셈”이라며 “이 비밀번호를 이용해 호텔 방 키를 무한으로 생성해 고객 정보를 빼낸 것”이라고 비유했다.
해당 직원이 개발 권한과 접근권을 가지고 있었던 만큼 정보 유출이 확인된 퇴사 이후 기간뿐만 아니라 재직 중에도 결제 정보나 로그인 정보를 탈취했을 가능성도 없지 않다는 분석이다.
이는 ISMS-P 기본 수칙을 위반한 것이다. 김 교수에 따르면 인증 항목에는 퇴직 시 접근 권한을 회수해야 한다는 규정이 있다. 쿠팡은 해당 인증을 보유하고 있지만 보안의 기본원칙 중 하나인 퇴사자 관리조차 실패했다는 비판을 피하기 어렵게 됐다.
대규모 보안 조직에도 기본적인 관리에 실패
사실 외형적으로 보면 쿠팡의 정보보호 투자의지는 동급 업계와 비교해 높은 편이다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)에 따르면 사내 보안 조직에 약 200명의 인력이 근무하고 있다. 한국인터넷진흥원(KISA) 정보보호 공시상 네이버(130여명), 카카오(90여명)보다 많고 SK텔레콤(220여명)과 비슷한 수준이다.
그럼에도 내부 직원의 접근 권한 통제 실패라는 가장 기본적인 보안 수칙이 지켜지지 않았다는 점에서 비판이 적지 않다. 과방위 소속 최수진 국민의힘 의원은 “IT 인력을 많이 불러놓고 보안이 철저한 척했던 것은 다 가식이었나”라며 “내부 관리를 못 하고 있다는 건 아주 심각한 문제”라고 지적했다.
“솜방망이 처벌 없다”는 이재명 정부, 1조원대 과징금 현실화되나
이재명 대통령은 2일 국무회의에서 “피해 규모가 3400만 건으로 방대한데도 사건이 발생하고 회사가 유출 자체를 파악하지 못했다는 게 참으로 놀랍다”며 “사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야 한다”고 강조했다.
여야 의원들은 SK텔레콤, KT, 롯데카드와 같은 침해사고가 반복되고 있다며 엄중한 처벌을 요구했다.
개인정보보호법에 따르면 개인정보 도난·유출 시 전체 매출의 최대 3%를 과징금으로 부과할 수 있도록 규정하고 있다. 지난해 쿠팡 연 매출은 302억6800만 달러다. 지난 2월 공시 당시 환율 기준으로 약 41조2900억원이다. 단순 계산으로 하면 과징금 최대 비율 적용 시 과징금은 약 1조2387억원이다.
개인정보위는 앞서 2300만여명의 개인정보를 유출한 SK텔레콤에 대해 안전조치 의무 위반과 유출 통지 지연을 이유로 과징금 1347억9100만원을 부과했다. SK텔레콤의 경우 ‘매우 중대한 위반 행위’로 적용돼 무선 매출 10조6700억원 중 감경을 거친 후 2.1~2.7% 수준에 해당하는 과징금을 부과했다.
쿠팡도 SK텔레콤처럼 ‘매우 중대한 위반 행위’로 여겨질 경우 이론상 1조원이 넘는 천문학적인 과징금이 부과될 수 있어 창사 이래 최대의 사법 리스크에 직면할 것으로 보인다.
