쿠팡에서 우리나라 성인 4명 중 3명에 해당하는 약 3400만개 고객 계정이 유출된 사실이 드러나면서, 업계 안팎에서는 “정상적인 시스템 구조라면 발생하기 어려운 사고”라는 반응이 나온다. 이번 사고가 내부 직원의 ‘비인가 조회’로 발생한 것으로 드러나면서 쿠팡의 인증·권한 관리 시스템에 구조적 결함이 있었던 것 아니냐는 의혹도 제기된다.
1일 업계에 따르면 국내 이커머스 1위 쿠팡에서 고객 계정 3370만개가 유출되는 초대형 개인정보 사고가 발생하면서 사회적 불안이 커지고 있다. 특히 이번 유출이 외부 해킹이 아닌 내부 직원의 비인가 조회에서 비롯된 것으로 드러나며 플랫폼 보안 실태 전반에 대한 우려가 커지고 있다. 정부는 민관 합동조사단을 꾸려 사고 원인 분석에 착수했으며, 경찰 역시 본격적인 수사에 나선 상태다.
국내 여러 플랫폼 업체와 이커머스 기업들은 고객 정보 보호를 위해 내부 접근을 최소화하고 권한을 세분화하는 것이 기본 원칙이라고 입을 모은다. 또 지난해부터 통신 및 금융 분야에서 보안사고가 이어짐에 따라 정기점검과 수시점검 등 내부 통제를 지속 강화하는 분위기라고 설명했다.
이커머스 업체 A사 관계자는 “반품 문의로 고객센터 상담 직원이 고객 주문정보를 확인해야 하는 상황이라도, 고객의 나이나 주소 같은 민감 정보는 모두 블록 처리(마스킹 처리)돼 보이거나 아예 조회 자체가 되지 않는다”며 “고객이 요청한 주문 정보만 별도로 번호 형태로 제한적으로 확인할 수 있을 뿐”이라고 말했다.
업체들은 상담·결제·인증 등 각 업무별로 열람 가능한 정보가 제한돼 있기 때문에, 이번 쿠팡 사고처럼 직원 한 명이 전 고객 정보를 한 번에 조회하거나 대량 다운로드하는 구조 자체가 애초에 불가능하다고 입을 모은다.
또 다른 이커머스 업체 B사 관계자는 “대부분의 플랫폼 기업은 개인정보 접근 권한을 최소화하는 원칙에 따라 운영되며, 단일 직원이 전체 회원 정보를 열람할 수 있는 구조는 일반적으로 허용되지 않는다”며 “업무상 필요한 경우에도 권한 분리·모니터링 관리·접근 통제·정기 점검 등 엄격한 보안 체계가 적용돼 무단 열람이나 오남용을 방지하고 있다”고 설명했다.
이커머스 업체 C사 역시 “고객 개인정보와 결제 정보를 분리해 관리하고 있다”며 “결제 승인에 필요한 최소한의 정보만 보관하기 때문에 일부 시스템에 이상 징후가 발생하더라도 전체 고객의 결제 정보가 한 번에 노출되는 일은 거의 발생하지 않는다”고 말했다.
이번 사태가 특히 논란이 되는 이유는 인증 담당 직원에게 발급되는 ‘액세스 토큰’의 서명키가 퇴사 후에도 장기간 갱신·폐기되지 않은 채 유지됐다는 점이다.
쿠팡이 해당 서명키를 제때 교체하거나 무효화 하지 않아, 담당 직원이 퇴사한 이후에도 이를 악용할 수 있는 구조가 지속됐다는 것이다.
현재 사건의 핵심 인물로는 퇴사한 중국 국적의 퇴사한 직원 D씨가 지목된 상태다. 그는 재직 당시 쿠팡 내부에서 인증 관련 업무를 맡았던 것으로 알려졌다. 주요 인증키 접근 권한을 가진 직원이 퇴사했음에도 쿠팡이 이를 즉시 리셋하지 않았고, 정상 사용자로 위장한 대량 크롤링이 수개월간 지속되는 동안 아무런 탐지가 이뤄지지 않았다는 점에서 기업의 책임 회피는 쉽지 않을 것이라는 평가가 나온다.
황석진 동국대 국제정보보호대학원 교수는 “액세스 토큰 서명키는 일종의 ‘출입증’ 역할을 하는데, 퇴사자의 출입 권한이 장기간 동안 그대로 유지된 셈이어서 더욱 납득하기 어려운 상황”이라고 지적했다.
이어 “액세스 토큰 서명키를 갖고 있는 경우 일반적으로 내부 시스템에서 일부 조회는 가능하더라도 유출까지는 여러 제약이 있다. 출력 시 워터마크가 삽입되거나, 과거 범죄에서는 화면을 사진으로 촬영해 가져가는 방식이 있었지만 이번처럼 3400만건 규모의 대량 유출은 그런 방법으로는 불가능하다”며 “텍스트 파일 형태로 외부 전송이 이뤄졌다면 ‘특정 IP에서 정보가 수집되고 있다’는 경보가 떠야하나 그러나 그런 탐지조차 이뤄지지 않은 것으로 보인다”고 설명했다.
황 교수는 “이를 고려해 경보를 피해 5개월에 걸쳐 장기간 조금씩 정보가 유출된 것으로 보이며, 때문에 단독 범행이 아니라 외부 해커 조직과의 연계 가능성도 배제하기 어렵다”고 덧붙였다.
