해킹 전 사전테스트서 뚫리자… 안방 드나들 듯 개인정보 털어 [쿠팡 사고 조사 결과]

3300만명이 넘는 국민의 개인정보가 유출된 쿠팡 사태는 쿠팡의 부실한 정보 관리 체계가 원인으로 파악됐다. 쿠팡의 이용자 인증 시스템을 설계한 개발자가 퇴직한 뒤에도 ‘자기 집 안방처럼’ 쿠팡의 회원정보에 손쉽게 접속할 수 있을 만큼 쿠팡의 정보 보호 관리는 허술했다. 개인정보보호위원회 처분에선 지난해 SK텔레콤이 부과받았던 1347억9100만원이란 ‘역대 최대 과징금’ 기록을 쿠팡이 경신할 것이란 전망이 나온다.

10일 과학기술정보통신부와 민관합동조사단의 조사 결과에 따르면 쿠팡 개인정보 유출사건의 공격자 A씨는 쿠팡의 이용자 인증 시스템을 설계하고 개발 업무를 수행하던 중국 국적의 소프트웨어 개발자였다.

그는 쿠팡 서버의 인증 취약점을 악용해 로그인 없이 이용자 계정에 비정상적으로 접속해 정보를 무단으로 유출했다. A씨는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취하고 이를 활용해 전자 출입증을 위조하거나 변조해 쿠팡 인증체계를 통과했다. 쿠팡 근무 시절 이용자 인증 시스템의 취약점과 키 관리체계의 취약점을 알았던 만큼 손쉽게 쿠팡의 서버로 들어갔다. 그는 로그인 절차 없이 쿠팡 인증체계를 통과했고 본격적으로 해킹을 시작하기 석 달 전인 지난해 1월부터 사전 공격 테스트를 진행하는 등 치밀함도 보였다.

이렇게 전 직원이 수시로 대한민국 1등 전자상거래(이커머스) 기업의 서버를 드나들며 회원들의 이름과 전화번호, 주소 등을 유출하는 동안 쿠팡은 전혀 알아차리지 못했다. 쿠팡의 이용자 인증체계에 허점이 드러나는 대목이다.

그나마 다행인 건 아직까지 쿠팡에서 유출된 개인정보가 온라인상에서 불법거래되는 등 2차 피해가 발생했는지 확인되지 않은 점이다. 최우혁 과학기술정보통신부 정보보호네트워크정책실장은 “쿠팡 해킹과 관련해 2차 피해에 대한 부분은 현재까지 다크웹 등에서 확인되지 않았다”고 밝혔다.

조사단은 쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS)을 취득하고도 접근 권한별 직무 분리와 암호정책 수립을 미흡하게 한 점도 확인하고 보완을 요청했다. 쿠팡이 보완 미비에 따른 시정명령을 이행하지 않을 경우 인증을 취소할 방침이다.

쿠팡은 정부의 조사결과 발표에 관한 입장문을 통해 “민관합동조사단 보고서에는 해당 전 직원(A씨)이 공용현관 출입 코드에 대해 5만 건의 조회를 수행했다고 기재하면서도 해당 조회가 실제로는 단 2609개 계정에 대한 접근에 한정된 것이란 검증 결과는 누락하고 있다”며 “대한민국 국민은 진실을 알 권리가 있다”고 불만을 내비쳤다. 쿠팡은 “앞으로도 정부 조사에 전면 협조하고 추가 피해와 재발 방지를 위해 필요한 모든 조치를 할 것”이라고 덧붙였다.

조사단의 조사가 2개월여 만에 일단락되면서 개인정보위 처분과 개인정보위 조사로 확정될 실제 피해 규모에 관심이 쏠린다. 일각에선 쿠팡 과징금이 1조원대에 달할 수 있다는 전망도 나온다. 개인정보위는 현행법상 전체 매출액의 최대 3%를 과징금으로 부과할 수 있다. 2024년 쿠팡 한국 법인의 매출이 38조여원으로 알려져 있다는 점을 감안하면 산술적으로 1조원대 과징금 부과도 가능한 셈이다.

사법리스크도 쿠팡을 옥죄고 있다. 이번 사건과 관련해 한·미 양국에서 공동 손해배상 소송이 동시다발적으로 진행 중이다. 한국은 현재까지 확인된 소송 참여자만 64만명에 달한다.

지난달 쿠팡 미국 주주들이 집단소송을 제기한 데 이어 이달 6일에는 미국 시민권자 2명을 대표 원고로 하는 미국 내 쿠팡 소비자들이 집단소송을 제기했다. 7000명 이상의 정보 유출 피해자가 집단소송 참여와 관련해 연락을 취한 것으로 전해졌다. 상대는 쿠팡 모회사인 쿠팡Inc와 김범석 의장이다.

김건호·반진욱·박진영 기자 기자페이지 바로가기

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지