박종민 기자쿠팡 대규모 개인정보 유출 사태 관련 용의자로 지목된 전직 쿠팡 직원의 범행 수법에 대해 의문이 커지고 있다. 보안팀 직원만 200명에 달하는 쿠팡이 퇴사 직원 한 명에 의해 무력화된 것이다.
조사 결과가 나와야 하겠지만, 현재까지 드러난 정황만으로도 쿠팡의 인증 토큰과 서명키 관리에 부실했다는 비판을 피하기 어렵다. 쿠팡이 그동안 기록적인 매출 성장에도 정작 정보보호 조치에는 소홀한 게 아니냐는 지적도 제기된다.
中 국적 전직 직원, 퇴사 후 범행 추정…공범? 해고에 앙심?
4일 과학기술정보방송통신위원장 더불어민주당 최민희 의원실 등에 따르면, 쿠팡 고객 정보를 빼돌린 용의자는 현재는 퇴사한 보안 인증 관련 시스템 개발자로 파악됐다. 중국 국적의 해당 직원은 지난해 12월 퇴사 이후 올해 6월 24일부터 쿠팡 내 개인정보에 접근한 것으로 추정된다.
해당 직원은 시스템에 로그인 없이 접근할 수 있는 '서명 인증키'를 이용한 것으로 보인다. 쿠팡 시스템에 로그인을 하기 위해서는 출입증에 해당하는 '토큰'이 필요한데, 이 토큰에 전자서명을 부여하는 내부 비밀키가 서명 인증키다. 통상 토큰은 생성 후 1시간 이내 폐기되는 등 주기가 짧은데, 서명키를 활용하면 해당 토큰을 임의로 생성할 수 있다. 문제의 직원은 서명 인증키를 확보한 뒤 스스로 토큰을 발급해 시스템에 드나든 것으로 알려졌다.
문제는 쿠팡이 서명 인증키를 삭제하거나 갱신하지 않고 방치하면서 범죄에 악용됐다는 점이다. 고려대학교 김승주 교수는 2일 국회 과학기술정보방송통신위원회 현안질의에서 "호텔에 들어갈 때 주민등록증으로 신원 확인한 뒤 방 키를 발급받는데 그 방 키를 발급하는 비밀번호를 내부 개발자가 갖고 나간 상황"이라며 "호텔 방 키를 무한 생성해 고객 정보를 빼낸 것으로 볼 수 있다. 원래 직원이 퇴사하면 키 생성 비밀번호를 리셋해야 하는데, 그런 기본 관리가 이뤄지지 않은 것으로 보인다"고 설명했다.
쿠팡은 정보 유출이 이뤄진 뒤 5개월이 지나서야 피해 사실을 인지했다. 쿠팡은 해외 서버를 통한 비정상적인 접근을 탐지하지 못했다는 입장이다. 그 사이에 3370만명에 달하는 고객 정보가 새 나갔다. 쿠팡 박대준 대표는 관련 더불어민주당 한민수 의원 지적에 대해 "조금 더 확인하고 보완해야 할 부분이라고 생각하고 있다"며 "내·외부를 가리지 않고 전부 다 모든 가능성을 열어놓고 조사하고 있다"고 답변했다.
고객 정보 탈취 과정에서 공범이 있었을 가능성도 제기된다. 특히 해당 직원으로 추측되는 발신자가 쿠팡에 협박 메일까지 보내면서, 범죄 단체가 연루된 게 아니냐는 분석도 나온다. 국민의힘 유영하 의원은 전날 국회 정무위 현안질의에서 "공격자가 정보를 빼낸 뒤 협박성 이메일만 보내고 요구조건을 보내지 않았다. 돈을 받으려는 시도가 없었다"며 "쿠팡 유통 정보를 중국 업체들이 가져가게 된다면 우리 유통망은 순식간에 무너질 수 있다"고 우려했다. 쿠팡 측은 한 직원의 단독 소행인지, 공범이 연루됐는지 여부에 대해서는 단정하기 어렵다는 입장이다.
공격자가 개인적인 앙심을 품고 범행을 저질렀을 수 있다는 관측도 나온다. 김 교수는 2일 CBS 라디오 '김현정의 뉴스쇼'에 출연해 "쿠팡 내부에서는 중국인 개발자가 해고를 당하게 되니까 앙심을 품고 그랬다는 얘기들이 나오고 있다"고 전했다. 해당 메일에는 금전적 요구 대신 '보안 취약점을 보완하지 않으면 폭로하겠다'는 취지의 내용이 담긴 것으로 전해졌다.
쿠팡 정보보호 투자 비중 감소…정부 인증 절차도 '요식행위'
2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의 '쿠팡 침해사고' 관련 현안질의에 박대준 쿠팡 대표이사가 출석해 의원 질의에 답변을 하고 있다. 윤창원 기자쿠팡이 기본적인 보안 수칙도 지키지 않은 것으로 보이면서, 그동안 이뤄진 정보보호 조치가 허울뿐이라는 지적도 나온다. 쿠팡 브랫 매티스 쿠팡 최고정보보안책임자(CISO)가 국회 현안질의에서 밝힌 내용에 따르면 쿠팡 보안 인력은 약 200명에 달한다. 이는 한국인터넷진흥원(KISA) 정보보호 공시에 나온 네이버(130여명), 카카오(90여명)보다 훨씬 많은 수준이다.
매출 성장에 비해 정보보호 투자 비중이 감소했다는 지적도 피하기 어렵다. 쿠팡은 재작년부터 매출이 매년 약 10조원씩 뛰었지만, 정보보호 투자 비중은 오히려 줄었다. KISA 공시에 따르면, 쿠팡은 전체 IT 부문에 1조 9171억원을 투자했는데, 이중 정보보호 부문 투자액은 890억원으로 전체의 4.6%에 그쳤다. 이는 전체 정보보호 투자 공시 기업 773곳의 평균(6.28%)보다 낮은 수준이다.
정부의 인증 절차도 요식행위라는 비판이 나온다. 쿠팡은 자사 홈페이지에 정보보호·개인정보보호 관리체계(ISMS-P)를 비롯해 각종 보안 인증을 갖추고 있다고 홍보하고 있다. ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다. 쿠팡은 2021년 ISMS-P를 취득했다.
그러나 쿠팡은 해당 인증을 받은 이후에도 쿠팡이츠 배달원 13만 5천여명 개인정보 유출과 쿠팡 주문자 2만2천여명 개인정보 유출 등으로 총 16억원의 과징금을 물었다. 이후 지난해 ISMS-P 인증을 갱신했는데, 이번 대규모 개인정보 유출 사태를 빚은 것이다.
이 때문에 ISMS-P 인증 제도의 허점도 국회에서 도마에 올랐다.
송경희 개인정보위원장은 전날 국회 정무위 현안질의에서 'ISMS-P 인증 기업 263곳 중 27개 기업에서 33건의 개인정보 유출 사고가 발생했다'는 더불어민주당 김용만 의원 지적에 대해 "부족한 점이 많다"고 말했다.
송 위원장은 "지금은 서면심사와 샘플링 조사 위주로 인증을 부여하고 있다"며 "예비심사제도 도입과 현장심사 확대 등을 검토하고 있다"고 설명했다. 이어 "과기정통부와 함께 제도개선 태스크포스(TF)를 구성해 개선안을 검토 중"이라며 "인증을 받았음에도 사고가 발생한 24개 기업에 대해 12월 중 현장조사를 실시할 계획"이라고 말했다.