■ 방송 : CBS 라디오 <김현정의 뉴스쇼> FM 98.1 (07:10~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 김승주(고려대 정보보호대학원 교수)
온라인 쇼핑몰 쿠팡에서 벌어진 3370만 명의 개인정보 유출 사건. 하루하루 지날수록 자세한 정황들이 드러나고 있는데요. 이 유출이 이루어진 건 지난 6월이었습니다. 하지만 쿠팡은 11월이 되도록 몰랐어요. 그러다가 11월 중순께 알게 되는데 알게 된 경로가 희한합니다. 쿠팡의 고객인 20대 남성 박 모 씨가 어느 날 이메일 한 통을 받는 거예요. 그 이메일에는 영어로 이런 내용이 적혀 있었습니다. 쿠팡의 개인 정보가 잠재적 유출 위험에 놓여 있다. 그리고는 그 밑으로는 박 씨의 이름, 주소, 주문한 물건명 거기다가 공용 현관 정보까지 그대로 다 담겨 있었다는 거예요. 그래서 박 씨는 쿠팡에 바로 신고를 한 거죠. 근데 알고 보니까 이 무렵에 박 씨뿐만 아니라 여러 명 회원들한테 이런 종류의 메일이 왔다고 합니다.
이렇게 해서 이 엄청난 유출 사건은 세상에 드러난 겁니다. 여기서 궁금증이 생깁니다. 이 범인, 몰래 정보를 빼가놓고는 그걸 굳이 세상에 왜 알린 걸까요? 너희들 6개월 지나도록 왜 모르니? 내가 가져갔어. 이런 식으로 왜 알린 걸까요? 그리고 그보다 더 궁금한 건 지금 범인이 퇴사한 쿠팡 전 직원으로 추정이 되고 있는데 도대체 퇴사 후에 이런 범행을 어떻게 저지를 수 있었던 걸까요? 전문가 이야기 들어보겠습니다. 김승주 고려대 정보보호대학원 교수, 어서 오세요, 교수님.
◆ 김승주> 안녕하십니까.
◇ 김현정> 퇴사한 중국인 개발자의 소행으로 점점 좁혀져 가고 있는 것 같은데 구체적으로 범행은 어떤 방식이었습니까?
◆ 김승주> 일단 인증 토큰, 서명키 이런 얘기가 나오니까 되게 헷갈리실 거예요.
◇ 김현정> 어려워요, 뭔지 모르겠어요.
◆ 김승주> 우리가 호텔에 들어갈 때 내 주민등록증을 보여주면 방 키를 주지 않습니까?
◇ 김현정> 주죠.
◆ 김승주> 그런데 이 방 키는 제한된 시간 동안만 효력이 있잖아요.
◇ 김현정> 제가 2박 3일 그 호텔에 묻기로 했으면 2박 3일 동안만 효력이 있어요.
◆ 김승주> 그렇죠, 제가 보통 시스템에 아이디하고 비밀번호를 쳐서 로그인을 하면 이런 방 키와 같은 인증 토큰이라는 걸 줍니다. 그걸 가지고 실제로 접속을 하는 거거든요. 그런데 지금 중국인 개발자로 지금 추정되는 이분이 범인 이 방 키를 발급하는 일종의 비밀번호를 가지고 나간 겁니다.
◇ 김현정> 그러니까 호텔에 가면 로비에서 그 호텔 호텔리어가 김현정 씨 2박 3일 묵으시죠? 하고선 그 카드 키에다가 넣어줘요. 그럼 저는 그 2박 3일 동안 그거 갖고 다니고 다시 반납하고 가면 또 다른 고객한테 새로 부여하거든요. 그 직업을 하는 호텔리어가 이 사람이었던 거예요?
◆ 김승주> 그 직업을 했을 수도 있고요. 아니면 이 개발자가 본인이 퇴사하기 전에 시스템에서 그런 발급할 수 있는 비밀번호들을 취합해서 갖고 나갔을 수도 있고요.
◇ 김현정> 어쨌든 그러니까 그 정보가 있는 방이 있다면 그 방문 앞 언저리에 있는 그 일을 하는 그런 문지기였다.
◆ 김승주> 그렇죠.
◇ 김현정> 그런데 그 문지기가 열쇠 가지고 간 거예요? 쉽게 말하면?
◆ 김승주> 그렇죠. 그런데 중국인 이렇게 얘기가 나오는 이유는 아까 이메일을 보냈는데 영어로 보냈다고 얘기하지 않으셨습니까. 그랬으니까 외국인인 것 같고 그리고 내부에서 나오는 소리가 이 중국인 개발자가 퇴사를 당하게 되니까, 해고를 당하게 되니까 앙심을 품고 그랬다는 얘기들이 내부에서 나오고 있는 것 같습니다.
◇ 김현정> 제가 앞서 던진 질문, 몰래 훔쳐 가고 6개월 동안 안 들켰으면은 그냥 그거 가지고선 범행을 저지르는 게 그 사람으로선 최선이었을 텐데 왜 굳이 당신 정보 유출됐어요, 그거 왜 모르세요? 이런 얘기를 굳이 왜 흘렸을까, 이 부분이 잘 이해가 안 돼서 제가 지금 질문드린 거였는데 그 퇴직자가 회사에 앙심을 품었을 가능성을 높게 보고 있어요?
쿠팡에서 고객 4천500여명의 이름과 이메일 등 개인정보가 노출되는 사고가 발생했다. 쿠팡은 20일 고객들에게 "18일 고객 개인정보가 비인가 조회된 것으로 확인됐다"며 "조회된 정보는 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 5건의 주문 정보로 확인했다"고 공지했다. 이어 "해당 활동을 탐지한 뒤 제3자가 사용했던 접근 경로를 차단했고 지금까지 조회한 정보를 이용한 사례는 확인되지 않았다"고 밝혔다. 박종민 기자◆ 김승주> 그렇죠. 왜냐하면 돈을 노렸으면 내가 발견되기 전에 즉각적으로 회사에 얘기를 합니다. 내가 지금 이런 거 갖고 나왔는데.
◇ 김현정> 돈 내놔라.
◆ 김승주> 개인정보보호위원회에 신고할 거니까 돈 내놔라.
◇ 김현정> 그렇죠.
◆ 김승주> 그런데 5개월 동안 있다가 일반 쿠팡 이용자들한테 알렸다는 건 돈의 목적이 아니라는 거거든요.
◇ 김현정> 아니라는 거예요.
◆ 김승주> 그냥 회사한테 너 한번 당해봐라라는 게 더 강하다는 겁니다. 그래서 회사에 앙심을 품은 개발자가 이런 것 같다고 얘기들이 나오는 겁니다.
◇ 김현정> 이거 지금 교수님 추정이 아니라 쿠팡 내부 직원들 사이에 지금 도는 얘기입니까? 이게?
◆ 김승주> 사실은 지난 주말에 하도 전화들을 많이 주셔서 제가 아는 사람들이 좀 많이 있으니까 그래서 물어봤어요. 중국인 얘기가 있는데 음모론도 있다. 그랬더니 퇴사를 당하게 된 중국인 개발자가 앙심을 품고 이런 걸 한 것 같다. 그리고 이 양반은 수개월에 걸쳐서 호텔 방 키를 발급할 수 있는 그런 비밀번호를 모았고 그걸 통해서 각 이용자들의 인증 토큰을 발급한 다음에 그걸 이용해서 개인정보를 취합했다, 모았다. 이런 게 골자였습니다.
◇ 김현정> 그렇군요. 사실 지금 음모론 얘기하셨는데 어떤 음모론이 도냐면 테무나 알리 같은 그런 외국 경쟁사들이 쿠팡을 제치려고, 쉬운 말로 쿠팡 제치려고 지금 이렇게 한 거 아니야? 그러니까 돈 요구를 한 게 아니라 오히려 정보 유출됐다는 사실을 세상에 알리는 방식으로 이렇게 접근한 거 아니야라는 음모론이 돌고 있는데 오히려 쿠팡 내부 직원들은 그것보다 그 퇴직자의 앙심, 앙갚음, 복수 쪽에 더 방점을 찍고 있다?
◆ 김승주> 일단은 제가 듣기엔 그렇게 들었고요. 그리고 쿠팡 중국인 이런 얘기를 많이 하시는데 쿠팡이라는 회사 자체가 안에 중국인 개발자나 인도 개발자가 많습니다.
◇ 김현정> 그건 왜 그런 건가요?
◆ 김승주> 아무래도 국제적인 기업이니까, 글로벌 기업이다 보니까 그런 거고요. 그런데 실제로 그 회사에 취직한 한국인들은 처음 가면 왜 이렇게 중국인들이 많지? 이렇게 놀라기도 합니다. 그래서 외국인 개발자가 많은 것이 전혀 이상할 거는 없고요.
◇ 김현정> 하기는 글로벌 IT 기업 가면 미국도 그렇고 중국인 IT 엔지니어들, 인도인 엔지니어들이 많아요.
◆ 김승주> 그렇죠.
◇ 김현정> 그쪽이 좀 발달한 나라다 보니까.
◆ 김승주> 이러다 보니까 사실은 고위층, 그러니까 위에 어떤 여러 가지 것들을 조정하고 관리하는 고위층은 외국인들이 대부분입니다. 그러다 보니까 국내 개발자들하고 의사소통이 조금 안 된다거나 하는 그런 문제들은 조금 있습니다. 그러다 보니까 관리에 좀 느슨한 부분이 생겼을 수도 있고요.
◇ 김현정> 일단 제가 처음으로 던졌던 그 질문에 대해서는 아직 완전히 지금 수사 결과가 나온 건 아니지만 교수님이 널리 취재하신 걸로는 앙심을 품은 사람의 어떤 범행으로 지금 좀 가능성을 높게 보고 있다. 그건 그렇고 어쨌든 이 사람이 범행을 저질렀으면은 이걸 쿠팡이 바로 알아냈어야 되는데 왜 몰랐는가, 특히 정부가 실시하는 개인정보 보호 관리 체계 인증 이름이 좀 어렵더라고요. ISMS-P 인증이라는 것도 통과를 했다는데 이거 어떻게 통과한 겁니까?
◆ 김승주> 사실 그게 문제가 되고 있죠. 예전에 롯데카드 해킹 사고가 났을 때도 롯데카드도 이 ISMS-P 인증이라는 걸 받았거든요. 이 ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 발급하는 인증서입니다. 어떤 인증서냐 하면 너 정보보호 잘했다, 개인 정보보호 관리를 잘했다. 이런 것들을 확인해서 그게 진짜로 그러면 인증서를 발급해 주는 거거든요.
◇ 김현정> 너네 보안 시스템 괜찮다 이런 인증서.
◆ 김승주> 그렇죠. 그런데 문제는 뭐냐 하면 이 ISMS-P 인증 항목 중에, 백몇십 개가 있습니다만 그 인증 항목 중에 조직 내 인력이 퇴직하는 경우 접근 권한을 회수해야 한다. 이 조항이 있습니다. 그러니까 어떤 직원이 퇴직하려고 그러면 그 사람이 알고 있던 비밀 키라든가 비밀번호 이런 것들은 전부 다 리셋시켜야 된다는 얘기거든요.
◇ 김현정> 당연하죠.
◆ 김승주> 그런데 그게 제대로 안 돼서 이번 사고가 난 걸로 보여지고요. 그런 의미에서 봤을 때 그럼 ISMS-P 인증이 제대로 이루어진 거야? 이런 논란이 나오고 있는 겁니다.
◇ 김현정> 방 키를 가지고 갔는데 발급하던 사람이 가지고 갔는데 그사이에 리셋, 비밀번호 변경이 안 돼버리니까 나가서도 계속 접근이 가능했다.
◆ 김승주> 그렇죠.
◇ 김현정> 그런데 이 인증 과정에서 그게 걸러내, 근데 왜 이걸 걸러내지 못할 거면 뭐 하러 이런 인증 절차 밟아요?
◆ 김승주> 보통 이렇게 저희 고려대학교도 ISMS-P 인증을 받았지만 실제로 해보면 서류 중심으로 확인하는 경우가 많습니다.
◇ 김현정> 이거 이거 했는지 체크하시오.
◆ 김승주> 그렇죠. 왜냐하면 정해진 시간 안에 심사를 해야 되기 때문에 그러다 보니까 항상 ISMS-P 인증에 대해서 관리가 제대로 되고 있는 거냐, 이런 어떤 얘기가 나오고 있는 거고요. 그래서 정부가 요새 통신사도 해킹되고 카드사도 해킹되고 하니까 이 ISMS-P 인증의 어떤 심사 절차를 보다 더 강화하겠다. 이렇게 얘기를 하고 있는 겁니다.
◇ 김현정> 지금 뭐가 탈취됐나 보니까 이름 나갔고요 주소 나갔고요. 내가 무슨 무슨 물건 샀는지 이거 나갔고 이메일 나갔고 공동 현관 번호 있는 분들 거기다 쓰신 분들은 그것도 다 나갔단 말입니다. 다만 카드 비밀번호 같은 거. 그러니까 쿠팡에다 여러분, 결제번호 넣잖아요, 신용카드 등록해 놓잖아요, 그거는 안 나갔다는 게 쿠팡 설명인데 믿어도 됩니까?
◆ 김승주> 일단은 지금 말씀하신 그 정보만으로도 사실은 굉장히 위협적인 건 사실입니다. 보통 결제 주문 정보 같은 경우에 최근 5개까지가 저장되거든요. 근데 그런 것들을 보면 이 사람들이 어떤 음식 좋아하는구나 이런 여러 가지를 알 수 있기 때문에 전화 사기나 피싱 메일 같은 걸로 악용될 수가 있죠. 두 번째로 중요한 건 결제 정보인데 좀 전에 말씀하셨듯이 쿠팡은 결제 정보는 안전하다, 비밀번호도 암호화돼 있다. 이렇게 얘기를 했습니다. 그런데 과거 통신사 해킹 사례를 보면 조사를 하다 보면 피해 범위가 더 확대되는 경우가 많거든요. 그리고 실제로 민관 합동조사단이 전수 조사를 하다 보면 이번 건은 아니더라도 과거에 해킹됐던 사례가 발견되기도 합니다.
◇ 김현정> 이번 건은 고객이 신고를 하고 그러면서 알려졌지만 혹시라도 꼭 그렇다는 건 아니지만 혹시라도 조사를 하다 보니까 어? 몇 년 전에 이렇게 해킹당해서 이렇게 유출됐는데 이거 몰랐어요? 그냥 넘어간 경우가 있을 수 있다?
◆ 김승주> 그렇죠. 그게 몰랐을 수도 있고 은폐했을 수도 있고. 그리고 분명히 통신사 사례를 보면 민관 합동조사단이 조사를 한 결과 이번 사건과는 관련이 없으나 과거에 이러이러한 것도 있었습니다. 보통 이렇게 발표를 하거든요.
◇ 김현정> 그런 사례들이 실제로 있었어요.
◆ 김승주> 있었죠. 그래서 사실은 민관 합동조사단이 본격적으로 조사를 하면 다른 어떤 침해 사례도 발견될 가능성은 있습니다. 그래서 현재 상태로서 결제 정보는 안전하다고 단언하는 것은 조금 위험합니다.
◇ 김현정> 그럼 당장 개개인이 할 수 있는 조치는 뭔가, 정부가 조사하고 기업이 나서서 보안 철저히 하고 이런 거는 그대로 하면 되는 거고 우리가 당장 할 수 있는 건 뭐예요? 뭘 어떻게 해야 돼요? 3370만 명은?
◆ 김승주> 일단은 저도 문자를 받았지만 안심하셔도 됩니다. 이걸 믿으시면 안 되고 쿠팡에 카드 정보를 연동해 놓으신 분들이 계세요.
◇ 김현정> 되게 많이들 그렇게 해 놓지 않아요?
◆ 김승주> 그래서 일단은 그 정보는 다 삭제하시는 게 좋고요.
◇ 김현정> 삭제하라.
◆ 김승주> 그리고 비밀번호는 다른 걸로 바꾸시는 게 좋을 것 같습니다.
◇ 김현정> 카드 비밀번호?
◆ 김승주> 그렇죠, 카드 비밀번호도 그렇고 그다음에 쿠팡 로그인 비밀번호도 그렇고요. 그게 지금으로서는 개인이 할 수 있는 최선책인 것 같습니다. 물론 탈퇴까지도 고려해 보실 수 있겠으나.
◇ 김현정> 만약 이 퇴직자가 그냥 그냥 앙심 품고 3370만 명 정보를 탈취하는 걸로 땡이었으면 그나마 전 다행일 것 같아요, 차라리. 근데 그게 아니라 이걸 팔아넘겼어요. 그러면 그들이 할 수 있는 그 조직이 할 수 있는 범행은 어떤 것들이 있습니까? 이 정보를 가지고 할 수 있는 거.
◆ 김승주> 그러니까 카드 정보라는 것이 기본적으로 카드 번호 있고 유효기간이 있고 뒤에 CVC 값이 있고 이렇지 않습니까? 그게 있으면 온라인상에 결제를 할 수 있으니까 위험한 거거든요.
◇ 김현정> 이번에는 카드가 안 털렸다고 하더라도 과거에 털린 사례들이 있었잖아요. 그거랑 또 결합할 수도 있겠네요.
◆ 김승주> 그럴 수도 있고요.
◇ 김현정> 쉬운 일은 아니겠지만.
◆ 김승주> 그래서 지금 카드 정보가 아니더라도 일단 나간 정보 자체가 그 사람의 어떤 취향을 알 수 있는 정보라든가 현관 비밀번호 같은 경우는 굉장히 중요하기 때문에 그것만으로도 일단 문제가 될 것 같고요. 그다음에 아직 조사가 완료되지 않았기 때문에 개인으로서는 아까 말씀드렸듯이 카드 비밀번호 바꾸고 결제 정보 전부 다 삭제해 놓고 이런 것들이 일단은 필요할 것 같습니다.
◇ 김현정> 솔직히 이게 어떤 식으로 어디까지 퍼져갈지 잘 모르겠어요. 그래서 대처를 어떻게, 그럼 지금 거기 있는 신용카드들 거기에 등록해 놨던 건 다 그냥 꺾어야 되는 건가, 이걸 어떻게, 탈퇴를 해야 하는 건가.
◆ 김승주> 그런 문제가 있죠.
◇ 김현정> 어디까지 해야 될지 모르겠어요.
◆ 김승주> 언론에서 또 논란이 되고 있는 것은 쿠팡은 대만에서도 서비스를 합니다. 그런데 대만에서는 우리는 지금 쿠팡 쓸 때 아이디하고 비밀번호를 쓰잖아요. 근데 그거보다는 조금 더 보안 수준이 높은 어떤 그런 사용자 인증 방식을 쓰거든요. 그래서 대만에서는 저렇게 안전한 거 쓰면서 왜 한국은 이렇게 좀 단순한 걸 쓰는 거야? 이런 어떤 불만 섞인 목소리도 나오고 있는 것으로 압니다.
◇ 김현정> 이번 건을 계기로 또 우리가 돌아봐야 될 어떤 시스템적인 보안 문제 어떤 게 좀 보완돼야 된다고 보세요?
◆ 김승주> 사실은 이번 해킹 사고는 과거 통신사 해킹 사고하고는 결이 좀 다릅니다. 보통 우리가 해킹 그러면 외부의 공격자가 침입하는 거거든요. 근데 이건 내부 직원에 의한 공격이란 말이죠. 그런데 이 내부 직원에 대한 공격이 사실 막기는 쉽지 않습니다. 그런데 미국은 에드워드 스노든 사건 이후로 내부 직원에 대한 어떤 기밀 정보 유출 이거에 대해서 굉장히 민감하게 반응하거든요. 그래서 우리도 법 제도 관련해서 내부 직원 관련해서 어떤 식으로 방어할 거냐, 처벌은 어떻게 할 거냐 이걸 좀 마련할 필요가 있고요. 두 번째는 지금 우리의 법 제도는 주로 국내 기업을 처벌하는 데 포커싱이 돼 있습니다. 그런데 이렇게 다국적 기업인 경우에 과연 어떡할 거냐, 무슨 얘기냐 하면 법상으로는 처벌할 수 있습니다. 그런데 지금 상층부는 전부 다 외국인이거든요.
◇ 김현정> 쿠팡은 그래요?
◆ 김승주> 그렇죠.
◇ 김현정> 우리는 그냥 우리나라 기업이다. 이렇게 생각하고 있는데 다국적 글로벌 기업인 거예요?
◆ 김승주> 보통 다 외국인입니다. 그래서 그 사람들 소환한다고 그래도 응해줄 리도 없거니와 조사 자체가 쉽지 않을 거란 말이죠. 그러면 쿠팡 코리아에 있는 직원들 선에서 꼬리 자르기식으로 끝나고 실제 맨 위에 있는, 어떤 명령을 내릴 수 있는 이분들은 그대로 있을 수가 있거든요. 그래서 우리나라에는 이런 형태의 기업 구조를 갖는 글로벌 기업들이 꽤 많은데 이걸 과연 앞으로 어떻게 대처할 거냐 이건 고민이 좀 필요해 보입니다.
◇ 김현정> 예. 전직 내부인의 소행 심지어는 현직 내부인의 소행에 대해서는 지금까지 너무 무방비가 아니었는가, 이번 사건에 또 새로운 유형의 사건이 터지면서 이쪽을 한번 들여다봐야 되는, 우리가 깊이 있게 들여다봐야 되는 그런 사례인 것 같습니다. 교수님, 오늘 말씀 고맙습니다.
◆ 김승주> 감사합니다.
◇ 김현정> 김승주 교수였습니다.
* 인터뷰를 인용보도할 때는 프로그램명 'CBS라디오 <김현정의 뉴스쇼>'를 정확히 밝혀주시기 바랍니다. 