“전 국민 절반이 털렸다”… 정부, 쿠팡 ‘보안 불감증’에 철퇴

국내 최대 이커머스 플랫폼 쿠팡이 전 직원의 일탈과 회사의 허술한 보안 관리로 인해 창사 이래 최대 규모의 개인정보 유출 사태를 맞았다. 정부는 단순한 해킹 사고를 넘어 기업 내부의 보안 관리 시스템이 총체적으로 붕괴된 인재(人災)라고 규정했다.

과학기술정보통신부(이하 과기정통부)는 10일 정부서울청사에서 브리핑을 열고 쿠팡 정보 유출 침해사고 민관합동조사단의 조사 결과를 발표했다. 브리핑에 나선 최우혁 정보보호네트워크정책실장은 “국내 최대 전자상거래 플랫폼에서 발생한 대규모 정보 유출이자 중대한 침해 사고”라며 사안의 심각성을 강조했다.

“도둑에게 마스터키 쥐여준 꼴”… 무너진 인증 체계
조사 결과, 사고의 원인은 고도화된 외부 공격이 아닌 내부의 구멍 뚫린 보안 시스템이었다. 범인인 전 직원 A씨는 재직 당시 취득한 서명키(Signing Key)를 퇴사 후에도 보유하고 있었으며, 이를 이용해 가짜 전자 출입증(접근 토큰)을 만들어 쿠팡 시스템을 제집 드나들듯 유린했다.

최우혁 실장은 “정상적인 로그인 절차를 거치지 않고 위·변조된 전자 출입증으로 쿠팡 인증체계를 통과했다”며 “관문 서버에서 출입증이 유효한지 검증하는 절차 자체가 부재했다”고 지적했다.

더욱 충격적인 사실은 현직 개발자들의 보안 의식 부재다. 이동근 민관합동조사단 부단장(KISA 본부장)은 질의응답에서 “현직 개발자의 노트북을 포렌식한 결과, 서명키를 키 관리 시스템에만 보관해야 함에도 노트북에 저장(하드코딩)하고 있었다”며 “퇴사한 공격자 역시 동일한 형태로 업무를 했을 것”이라고 꼬집었다. 기본적인 보안 수칙조차 지켜지지 않는 조직 문화가 사고를 키웠다는 의미다.

쿠팡 측 “단순 조회” 주장에… 정부 “명백한 유출” 일축
쿠팡 측은 그동안 일부 정보가 단순히 조회됐을 뿐이라고 주장해왔으나, 정부는 이를 명백한 유출로 규정했다. 조사단은 공격자가 1억 4천만 회 이상 배송지 목록을 조회하고, 3,367만여 건의 내 정보 수정 페이지에 접속해 이름과 이메일 등을 빼내 간 사실을 확인했다.

이동근 부단장은 조회와 유출의 차이를 묻는 취재진의 질문에 “쿠팡 시스템 내에 저장된 정보가 통제권을 벗어나 제3자에게 넘어간 순간 유출”이라며 “1억 4천만 회 조회해 화면에 띄운 정보를 긁어갔다면(스크래핑) 이는 법적으로 명백한 유출”이라고 선을 그었다.

또한 쿠팡이 자체 조사를 통해 주장했던 유출 규모 3,000건에 대해서도 최 실장은 “피조사기관의 일방적 주장일 뿐”이라며 “조사단은 쿠팡 서버를 전수 조사해 3,367만 건이라는 구체적인 수치를 확인했다”고 반박했다.

늑장 신고에 로그 삭제까지… ‘은폐 의혹’ 수사로 번져
쿠팡의 사후 대응 태도 역시 도마 위에 올랐다. 쿠팡은 사고를 인지한 지 24시간이 지나서야 한국인터넷진흥원(KISA)에 신고해 정보통신망법을 위반했다. 심지어 정부의 자료 보전 명령에도 불구하고 접속 기록(로그) 저장 정책을 변경하지 않아 사고 규명의 핵심 증거인 5개월 치 웹 로그가 삭제되는 결과를 초래했다.

최 실장은 “자료 보전 명령 위반과 관련해 이미 수사기관에 수사를 의뢰했다”며 “단순 과태료 처분을 넘어 수사를 통해 고의성 여부가 밝혀질 것”이라고 경고했다.

정부 “기업 차별 없다”… 고강도 제재 예고
정부는 쿠팡에 대해 무관용 원칙을 천명했다. 일각에서 제기된 대기업 봐주기 의혹에 대해 최우혁 실장은 “조사단은 법과 원칙에 따라 철저하게 조사했으며, 국내외 기업을 막론하고 동일한 잣대를 적용했다”고 목소리를 높였다.

과기정통부는 쿠팡에 재발 방지 대책 이행을 명령하고, 오는 6~7월 중 이행 여부를 점검할 계획이다. 향후 개인정보보호위원회의 과징금 부과와 경찰 수사 결과에 따라 쿠팡은 창사 이래 최대의 법적·도덕적 위기에 직면할 것으로 전망된다.