구형 토큰으로 3,300만 건 탈취…쿠팡 뒤흔든 ‘무(無)몸값 협박’

지난 30일, 국내 최대 이커머스 기업 쿠팡에서 사상 초유의 개인정보 유출 사태가 발생했다. 유출된 고객 정보만 무려 3,370만 건. 국민 대다수의 집 주소, 전화번호, 구매 이력이 통째로 털린 셈이다. 범인은 쿠팡의 내부 사정을 훤히 꿰뚫고 있는 전직 직원으로 추정되나, 아직 정확한 신원은 밝혀지지 않아 경찰이 추적에 나섰다.

그런데 사건의 내막을 들여다볼수록 의문 투성이다. 용의자 A씨는 훔친 정보를 담보로 회사 측에 협박 메일을 보내면서도, 통상적인 해커들처럼 거액의 '몸값'을 요구하지 않았다. 대신 "보안을 강화하지 않으면 언론에 터뜨리겠다"는 뚱딴지같은 요구를 내걸었다.

돈을 원하지 않는 정보 유출범, 그는 도대체 왜 이런 짓을 벌인 것일까.

뚫려버린 '대문', 해외 서버 우회한 치밀한 범행

경찰과 업계에 따르면, 이번 사건은 쿠팡의 보안 시스템 허점과 내부 사정을 잘 아는 전문가의 소행이 결합된 '인재(人災)'일 가능성이 높다.

현재 해외에 체류 중인 것으로 파악되는 용의자 A씨는 쿠팡의 해외 서버를 경유해 국내 메인 서버에 접속하는 우회 방식을 택했다. 충격적인 점은 그가 외부인이 접근하기 힘든 경로를 뚫고, 별도의 유효한 인증 절차 없이 서버의 '빗장'을 열었다는 사실이다.

초기 조사 결과, A씨는 재직 당시 확보해 둔 것으로 보이는 '서명된 액세스 토큰(Access Token)'을 악용한 것으로 추정된다. 액세스 토큰은 특정 정보에 접근할 수 있는 디지털 열쇠와 같다. 정상적인 보안 시스템이라면 직원이 퇴사하는 즉시 이 '열쇠'는 폐기되거나 무효화되어야 한다. 하지만 쿠팡의 시스템은 퇴사자로 추정되는 인물이 구형 열쇠를 들고 다시 찾아왔을 때 이를 막아세우지 못했다.

이 허술한 틈을 타 A씨는 3,370만 명에 달하는 방대한 고객 데이터를 손에 넣었다. 여기에는 민감한 개인정보가 다수 포함되어 있어, 보이스피싱이나 스미싱 등 2차 범죄로 이어질 위험이 매우 높은 상황이다.

"돈은 필요 없다"는 그놈, 진짜 노리는 것은?

데이터를 손에 쥔 A씨가 쿠팡 측에 보낸 이메일 내용은 수사팀조차 고개를 갸웃하게 만들었다.

"회원들의 개인정보를 보유하고 있다. 보안을 강화하지 않으면 이 사실을 언론에 알리겠다."

통상적인 데이터 인질극(랜섬웨어 등)과는 전혀 다른 패턴이다. 금전적 보상을 요구하지 않는 협박은 범죄 심리학적으로도 이례적이다. 이에 대해 업계 전문가들과 수사 당국은 몇 가지 '섬뜩한 시나리오'를 제기한다.

첫째, '이미 팔았다'는 가설이다. 경찰은 A씨가 협박 메일을 보내기 전, 이미 다크웹 등을 통해 제3자에게 정보를 판매했을 가능성을 배제하지 않고 있다. 이 경우 협박 메일은 회사의 시선을 '보안 강화'라는 엉뚱한 곳으로 돌려, 유출 경로 추적을 지연시키거나 자신의 범죄를 '내부 고발'로 위장하려는 연막작전일 수 있다.

둘째, 치밀한 법적 계산이 깔려 있을 수 있다. 금전을 요구하지 않음으로써 형량이 무거운 '공갈죄'를 피하고, 자신의 행위를 단순한 불만 표출이나 공익적 목적(보안 경고)으로 포장하려는 의도라는 분석이다.

돈 요구 안 했으니 무죄? 천만의 말씀

법조계는 A씨의 '금전 요구 없는 협박'이 오히려 고도로 계산된 행동일 수 있지만, 그렇다고 해서 형사 처벌을 피할 수는 없다고 입을 모은다.

1. 공갈죄는 피했지만, '특수협박'은 못 피한다

형법상 '공갈죄'는 폭행이나 협박으로 재산상의 이익을 취득했을 때 성립한다. A씨가 돈을 요구하지 않았으므로 공갈죄 적용은 어렵다. 하지만 '협박죄'는 성립한다. 판례에 따르면 '해악의 고지'가 상대방(법인 포함)에게 공포심을 줄 정도라면 협박죄가 인정된다. "언론에 알리겠다"는 말은 기업 입장에서 막대한 경영상 타격을 의미하므로 명백한 협박이다.

2. 정보통신망법 위반의 굴레 더 큰 문제는 정보 유출 그 자체다.

정당한 권한 없이 서버에 접속한 행위는 '정보통신망 침입죄'에, 타인의 비밀을 빼낸 행위는 '타인의 비밀 침해 및 누설죄'에 해당한다. 이는 각각 5년 이하의 징역에 처해질 수 있는 중범죄다. 여기에 개인정보 보호법 위반 혐의까지 더해지면 A씨는 중형을 피하기 어렵다.

쿠팡의 책임은? "퇴사자 관리 실패, 배상 책임 불가피"

화살은 범인 A씨뿐만 아니라 쿠팡을 향해서도 날아들고 있다. 이번 사건의 핵심은 '전직 직원이든 해커든, 유효하지 않은 인증 토큰으로 어떻게 다시 서버에 들어올 수 있었느냐'는 점이다.

법적으로 개인정보처리자(쿠팡)는 개인정보가 분실·도난·유출되지 않도록 기술적·관리적 보호 조치를 해야 할 의무가 있다(개인정보 보호법 제29조). 법조계에서는 ▲접근 권한(토큰) 관리가 실시간으로 이루어지지 않은 점 ▲해외 IP를 통한 비정상적 접근을 차단하지 못한 점 등을 들어 쿠팡의 안전조치 의무 위반 가능성이 높다고 보고 있다.

과거 유사 판례를 볼 때, 유출 피해를 입은 고객들이 집단 소송을 제기할 경우 쿠팡은 막대한 손해배상금(위자료)을 물어야 할 가능성이 크다. 특히 이번 사건은 유출 규모가 크고 민감한 정보가 포함되어 있어 배상액 규모가 역대급이 될 것이라는 관측도 나온다.

또한 쿠팡은 유출 인지 후 72시간 내에 이를 정보주체(고객)와 관계 기관에 신고해야 할 의무가 있으며, 이를 어길 경우 과징금 등 행정 처분도 받게 된다.

"내 정보는 안전한가"... 소비자 불안 증폭

"새벽 배송이 편리해서 썼는데, 내 집 비밀번호까지 털린 기분입니다."

소비자들의 불안은 극에 달했다. 범인이 금전을 요구하지 않았다는 사실은 역설적으로 그가 '돈보다 더 위험한 목적'을 가지고 있거나, 이미 정보를 어딘가로 넘겼다는 신호로 해석되기 때문이다.

경찰은 현재 인터폴 공조 등을 통해 해외에 체류 중인 유력 용의자 A씨를 특정하고 신병을 확보하는 데 수사력을 집중하고 있다. 쿠팡 측은 "경찰 수사에 적극 협조하고 있으며, 보안 시스템을 전면 재점검하겠다"는 원론적인 입장을 내놓았지만, 뚫려버린 보안과 무너진 신뢰를 회복하기엔 갈 길이 멀어 보인다.

한편, 쿠팡 박대준 대표이사는 30일 공식 사과문을 통해 이번 사태에 대한 입장을 밝혔다. 박 대표는 "무단 접근된 정보는 이름, 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한되었으며, 비밀번호나 결제 정보는 포함되지 않았다"고 해명했다.

이어 "현재 민관합동조사단과 긴밀히 협력해 추가 피해 예방에 최선을 다하고 있다"며 "향후 유사 사건 방지를 위해 기존 데이터 보안 장치와 시스템 전반을 재검토하여 고객 정보 보호를 최우선으로 하겠다"고 약속했다.