"뚫린 게 아니라 문 열어둔 것"…쿠팡 '예견된 사고'인 이유

쿠팡, 해외 인력·공급망 의존 구조적 문제
퇴직자 권한 즉시 회수 안 한 내부 통제 실패
"문을 열어둔 수준"…2·3차 피해 가능성까지

박대준 쿠팡 대표이사. 연합뉴스

쿠팡 퇴직자 계정이 방치된 상태에서 3천만 명이 넘는 개인정보가 유출되면서 국내 최대 이커머스 플랫폼의 보안 체계가 근본부터 흔들리고 있다.

정상 로그인 절차 없이 접근이 가능한 '서명 인증키'까지 외부 인력에게 노출된 사실이 드러나자, 전문가들은 이번 사태가 단순한 내부 실수나 해킹이 아닌, 해외 인력 의존과 통제 붕괴가 누적돼온 구조적 결과라고 지적한다.

현장에서 해외 로그인 시도·스미싱·무단 결제 등 2·3차 피해까지 나타나며 사태는 점차 확산되고 있다.

"계정 관리 방치…기본 통제 체계 무너져"

연합뉴스

5일 유통업계 등에 따르면, 쿠팡이 유출 사실을 공개한 이후 온라인에서는 본인이 사용하지 않은 기기에서 '비정상 로그인 시도'가 뜨거나 해외 IP 접속 흔적이 발견됐다는 제보가 잇따르고 있다. 결제 정보가 유출되지 않았다는 쿠팡 측 설명과 달리 해외 승인 시도가 이어졌다는 글도 올라오며 전(全)국민이 불안에 떨고 있다. 쿠팡 탈퇴 시도와 집단 소송 움직임까지 확산되는 상황이다.

정보보안 전문가들은 이번 쿠팡 사태의 본질이 단순한 '외부 해킹'이 아니라, 장기간 방치된 인증키와 미흡한 내부 통제에서 비롯된 관리 부주의에 있다고 지적한다.

실제 용의자로 지목된 전직 쿠팡 직원은 재직 시 확보한 것으로 보이는 토큰 서명키를 활용해 정상 로그인 절차 없이 액세스 토큰을 발급받고, 이를 통해 고객 정보 시스템에 대량으로 접근한 것으로 알려졌다. 이 전직 직원에게 발급됐던 서명키가 퇴사 이후에도 폐기·갱신되지 않고 유효했던 점은 쿠팡의 인증·권한 관리 체계에 구조적인 내부 통제 실패가 있었음을 보여준다.

이상진 고려대 정보보호대학원 교수는 "퇴직자가 사용하던 계정과 권한은 보안의 가장 기본인데, 퇴사 즉시 완전히 차단했어야 한다"며 "이를 방치한 건 사무실 문을 며칠씩 잠가두지 않은 것과 다름없다"고 지적했다.

윤주범 세종대 정보보호학과 교수도 "연 1회 이상 취약점 점검과, 내부자더라도 업무 관련 인가자만 접근하도록 제한하는 철저한 통제가 필요했다"며 "보안 인력과 예산이 충분히 배정됐어야 한다"고 말했다.

쿠팡이 ISMS-P, ISO27001 등 7개의 국내외 보안 인증을 보유하고 있었음에도 내부자 통제를 막지 못했다는 점에서 인증제도의 실효성 논란도 불거지고 있다.

이희조 고려대 융합보안대학원 교수는 "'우리는 안전하다'는 선언만 반복한 사이 기본 통제 체계가 무너졌다"며 "중요한 작업을 할 때마다 사용자와 권한을 다시 검증하는 '제로 트러스트' 원칙이 적용됐다면 퇴직자가 절대 권한을 계속 쓰는 상황은 불가능했을 것"이라고 말했다.

2·3차 피해 본격화…G마켓도 '무단 결제' 발생

연합뉴스

전문가들은 무엇보다 2·3차 피해가 본격화할 수 있다는 점을 우려했다.

이상진 교수는 "전화번호·주소·구매 내역만으로도 경제 수준, 취향, 가족 관계까지 추정할 수 있다"며 "범죄조직이 이를 입수하면 협박, 스미싱, 맞춤형 보이스피싱을 쉽게 구성할 수 있다"고 경고했다.

실제로 쿠팡 사태 이후 '알 수 없는 로그인'과 스미싱 문자가 이어졌다는 제보가 다수 올라오고 있으며, 업계 전반에서도 비슷한 위험이 나타나고 있다. 최근 G마켓에서는 고객 모르게 모바일 상품권이 수십 건 결제되는 사고가 발생했는데, 이는 해킹이 아닌 유출된 로그인 정보의 도용으로 추정돼 업계 전반의 경각심을 키우고 있다.

공동현관 비밀번호·개인통관번호 유출 여부를 둘러싼 혼선도 이어졌다. 쿠팡이 처음에는 해당 정보를 유출 목록에서 제외했으나 뒤늦게 유출 사실이 확인되면서 불신이 커졌고, 통관번호 재발급이 몰리며 홈페이지 접속이 지연되는 사례도 발생했다.

해외 인력·공급망 의존 구조가 만든 '예견된 사고'

2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의 '쿠팡 침해사고' 관련 현안질의에 브랫 매티스 쿠팡 최고정보보안책임자(CISO, 오른쪽)가 출석해 물을 마시고 있다. 윤창원 기자

이번 사태는 내부 관리 실패를 넘어, 장비·인력 해외 의존 구조와 개인정보를 기업마다 무제한 축적하는 환경이 빚어낸 '예고된 사고'라는 지적도 나온다. 특히 쿠팡 사태의 용의자가 중국 국적의 개발자였다는 사실이 알려지면서 핵심 시스템을 외부 인력에 맡겨온 구조적 취약성이 다시 주목받고 있다.

임강빈 순천향대 정보보호학과 교수는 "국내 기업이 스스로 장비를 개발·운영하기엔 비용이 너무 많이 드는 구조적 현실이 과거 통신사 사고와 이번 쿠팡 사태 모두에서 드러났다"며 과거 '화웨이 장비 논란'을 예로 들었다. 당시 통신사들이 비싼 국내 장비 대신 인건비가 싼 중국·인도 장비에 의존하면서, 장비 내부에 숨겨진 보안 구멍(백도어) 가능성이 사회적 이슈가 된 바 있다.

임 교수는 "소프트웨어 기반 장비는 인력이 많이 투입되는 특성상 기업 입장에서는 인건비가 싼 해외 인력과 공급사 개발자에 의존할 수밖에 없다"고 설명했다.

그러면서 "기업의 자구 노력만으로는 해결하기 어려운 문제"라며 "공급망 보안 기준을 국가 차원에서 마련하고, 개인정보를 기업마다 쌓아두는 방식 자체를 바꾸는 계기로 삼아야 한다"고 강조했다.