국내 1위 이커머스 기업 쿠팡에서 최대 3370만명 규모의 고객 정보가 무단 유출된 사실이 확인되면서 파장이 역대급으로 커지고 있다. 대형 플랫폼의 보안 관리 체계가 심각하게 허술했던 것 아니냐는 비판이 제기된다.
유출 시점은 지난 6월로 추정되지만 쿠팡이 관계기관에 신고한 것은 5개월이 지난 뒤였고, 그 사이 핵심 피의자가 이미 해외로 출국한 것으로 알려지면서 초기 대응은 물론 향후 수사에도 난항이 예상된다. 특히 공격자가 쿠팡 서버의 인증 취약점을 이용해 개인정보 탈취를 시도한 것으로 전해지면서 내부 보안 체계에 구조적 '구멍'이 있었던 것 아니냐는 지적이 나오고 있다.
4536건이라던 신고, 사실상 '전 고객' 피해로 확대
1일 관련 업계에 따르면 쿠팡은 지난 19일 개인정보 유출 관련 첫 신고에서 고객명·연락처·주소 등 4536개 계정의 정보가 유출됐다고 보고했다. 그러나 이후 조사 과정에서 피해 규모는 불과 열흘 만에 3370만개로 무려 7500배나 확대됐다.쿠팡의 월간 활성 사용자 수가 3200만명 수준이라는 점을 고려하면 사실상 전 회원 정보가 유출됐다. 전 국민 네명 중 세명의 개인정보가 탈취된 수준이다.
쿠팡은 이 사고를 지난 18일 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다.
아울러 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인 분석에 나섰다. 서울경찰청 사이버수사대도 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인 정보 유출 사태에 대한 수사에 착수했다.
쿠팡은 노출된 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했지만 추가 피해에 대한 우려는 여전히 큰 상황이다.
중국 국적 쿠팡 전 직원 지목…이미 출국해 수사 난항 우려
피의자로 지목된 인물은 중국 국적의 전직 쿠팡 직원으로, 이미 퇴사해 한국을 떠난 상태로 전해졌다.
이 때문에 신병 확보가 어려워 수사에도 차질이 불가피하다는 우려가 나온다. 핵심 피의자가 해외에 나가 있는 상황에서는 계좌·통신기록·기기 포렌식 등 강제수사가 사실상 불가능해 국제 공조나 범죄인 인도 절차에 의존해야 한다. 때문에 쿠팡이 사고 인지를 늦게 해 피의자 확보의 골든타임을 놓쳤다는 지적도 제기된다.
개인 정보 탈취 방식도 외부자에 의한 해킹 보다는 내부자 관여 가능성이 우선 거론되고 있다. 앞서 쿠팡은 지난 20일 입장문을 통해 "고객 개인정보가 비인가 조회된 것으로 확인됐다"며 "쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다"고 밝혔다.
구체적 정보 탈취 방식은 내부 접근 권한을 가진 인물이 인증 절차를 우회해 대량 데이터를 조회한 것으로 추정된다.
앞서 국회 과학기술정보방송통신위원장 최민희 의원실이 지난 21일 한국인터넷진흥원(KISA)으로부터 제출받은 신고서에 따르면 "기존 로그인 사용자에게 발급되는 서명된 액세스 토큰을 악용해 인증을 우회한 것으로 추정된다"고 보고했다.
액세스 토큰은 사용자가 한 번 로그인하면 일정 시간 동안 재인증 없이 서비스 이용을 가능하게 하는 일종의 '디지털 인증키'다. 일반적으로 외부에서 탈취하기 어렵고, 토큰을 발급·관리하는 내부자가 접근권을 악용할 경우 비밀번호 입력 없이도 계정에 접속할 수 있다.
배경훈 부총리 겸 과학기술정보통신부 장관도 전날 관계 부처 긴급 대책회의에서 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3천만 개 이상의 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다"고 설명했다.
ISMS-P 두 차례 인증했지만 사고는 반복…형식적 인증?
쿠팡은 2021년과 2023년 두 차례 국가 인증제도인 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 취득·갱신했지만, 개인정보 유출 사고는 오히려 늘어 인증의 실효성에 의문이 제기된다.
국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보위로부터 제출받은 자료에 따르면 쿠팡은 로켓배송·쿠팡이츠 등 자사 서비스 전반을 대상으로 2021년 ISMS-P 인증을 받았고 지난해 3월 이를 갱신했다.
그러나 인증 전후로 크고 작은 유출 사고가 반복됐다. 2020~2021년에는 쿠팡이츠 배달원 13만 5천명의 개인정보가 외부로 유출됐고, 2021년 10월에는 앱 업데이트 테스트 과정에서 14건의 개인정보 노출 사고가 발생했다. 2023년 12월에도 판매자 전용 시스템 '윙(Wing)' 오류로 약 2만 2천명의 주문·수취인 정보가 타 판매자에게 노출됐다.
여기에 올해 6월부터 이어진 것으로 추정되는 3370만명 규모의 초대형 유출까지 확인되면서, ISMS-P가 실제 보안 수준을 보장하기보다 서류 심사 중심의 형식적 절차에 머무른 것 아니냐는 비판과 함께 쿠팡의 내부 보안 체계가 구조적으로 취약한 것 아니냐는 지적이 잇따르고 있다.
피해보상 미끼 스미싱 확산 우려…정부 "원격제어앱 요구는 100% 사기"
정부는 유출된 정보를 활용한 스미싱·보이스피싱 등 2차 피해를 경고하고 나섰다.
정부와 KISA는 보안 공지를 통해 "피해 보상, 피해 사실 조회, 환불 등의 키워드를 활용한 피해기업 사칭 스미싱 유포 및 피해 보상 안내를 빙자한 보이스피싱 시도가 예상된다"고 밝혔다.
KISA는 발신자가 불분명한 메시지 주소는 클릭하지 말고, 즉시 삭제하고, 의심되는 사이트는 정식 주소와 일치하는지 반드시 확인해야 한다고 당부했다.
특히 정부는 정부기관·금융기관은 전화·문자로 원격제어앱 설치를 요구하지 않는다고 강조했다. 악성 앱 설치가 의심될 경우 모바일 백신을 이용해 삭제하고, 해당 기기로 금융거래를 했다면 공인인증서·보안카드 등 정보를 폐기하고 재발급받아야 한다.