퇴사자가 5개월간 '제집 안방'처럼… 쿠팡, "몰랐다" 했다가 스스로 족쇄 찼다
퇴사자가 5개월간 '제집 안방'처럼… 쿠팡, "몰랐다" 했다가 스스로 족쇄 찼다
보안 빗장 풀린 유통공룡, 창사 이래 최대 위기
법조계 미탐지는 면책 아닌 중과실 증거
수천억 원대 과징금 폭탄 불가피
쿠팡 개인정보 유출 범위는? /연합뉴스
국내 이커머스 시장을 장악한 '유통 공룡' 쿠팡이 창사 이래 최대의 법적 위기에 직면했다. 무려 3,370만 개에 달하는 고객 계정 정보가 유출되는 동안 쿠팡의 보안 시스템은 5개월간 침묵했다. 범인은 외부의 전문 해커가 아닌 회사의 내부 시스템을 훤히 꿰뚫고 있던 '중국인 전직 직원'이었다.
쿠팡 측은 해당 기간 동안 이상 징후를 감지하지 못했다는 입장이지만 법조계의 시선은 싸늘하다. 회사가 직접적으로 인지 시점을 언급하지 않았더라도, 결과적으로 5개월간 침해 사실을 '인지하지 못했다(미탐지)'는 사실 자체가 법적으로는 회사의 목을 조르는 치명적인 증거가 될 수 있다는 분석이 나온다.
퇴사자 '출입증'은 그대로인데… 확인해 줄 '도장' 안 바꿨다
사건의 발단은 지난 6월로 거슬러 올라간다. 쿠팡의 전직 중국인 직원 A씨는 퇴사 후인 6월 24일부터 11월 18일까지 약 5개월 동안 수시로 회사 내부 시스템에 접속했다. 그가 이 기간 동안 빼돌린 정보는 회원 이름, 연락처, 주소, 이메일 등 민감한 개인정보 3,370만 건에 달한다. 대한민국 국민 3명 중 2명의 정보가 뚫린 셈이다.
보안의 가장 기본인 '퇴사자 권한 말소'가 도마 위에 올랐다. 국회와 IT 업계에 따르면 이번 사고의 핵심 원인은 '서명키(Signing Key) 갱신 누락'에 있다.
시스템 접근을 위해서는 '액세스 토큰(출입증)'이 필요하고, 시스템은 이 토큰이 진짜인지 확인하기 위해 '서명키(인증 도장)'를 대조한다. 최민희 국회 과방위원장실 확인 결과, 쿠팡은 A씨 퇴사 후에도 이 '서명키'를 갱신하거나 폐기하지 않은 것으로 드러났다.
즉, A씨가 서명키를 훔쳐 간 것이 아니다. 쿠팡이 서명키를 바꾸지 않았기 때문에, A씨가 퇴사 후에도 유효한 액세스 토큰을 생성하거나 기존 권한을 유지한 채 시스템을 드나들 수 있었던 것이다. 만약 쿠팡이 규정대로 서명키를 즉시 갱신했다면, A씨의 접근 권한은 무효화되어 접속이 차단됐을 것이다. 결국 회사의 관리 태만이 퇴사자에게 5개월간 '프리패스'를 쥐여준 셈이다.
"협박 메일 받았다" 고객 신고로 파악… 보안관제 '먹통'
더욱 충격적인 것은 발견 경위다. 쿠팡의 최첨단 보안 관제 시스템이 이를 스스로 잡아낸 것이 아니다. A씨에게서 "정보를 가지고 있으니 보안을 강화하라"는 내용의 협박성 이메일을 받은 한 고객이 쿠팡 측에 민원을 제기했고, 이를 확인하는 과정에서야 회사는 뒤늦게 사태를 파악했다.
보안 전문가들은 "퇴사자가 해외에서 수시로 접속해 데이터를 빼가는 동안 경보 시스템이 한 번도 울리지 않았다는 것은 말이 안 된다"고 입을 모은다. A씨가 보안 임계치를 넘지 않도록 데이터를 조금씩 긁어가는 '로 앤드 슬로우(Low and Slow)' 기법을 썼다 하더라도, 5개월이라는 장기간 동안 비인가 접근을 탐지하지 못한 것은 기술적 한계를 넘어선 총체적 관리 부실이라는 비판을 피하기 어렵다.
법조계 "인지 못 했다는 사실 자체가 과실 입증… 책임 회피 어려워"
법조계는 이번 사건의 핵심 쟁점으로 쿠팡의 '안전조치 의무 위반'을 꼽는다. 개인정보 보호법 제29조는 해킹이나 유출을 막기 위한 기술적·관리적 보호조치를 의무화하고 있다.
법률 전문가들은 쿠팡의 고의성 여부와 관계없이 '결과'가 책임을 증명한다고 지적한다. 서명키가 정상적으로 갱신되고 보안 수칙이 지켜졌다면 기술적으로 퇴사자의 접속은 불가능했어야 한다.
그러나 결과적으로 5개월간 접속이 뚫려 있었고 대규모 유출이 발생했다. 이는 ①서명키 등 접근 권한 관리에 실패했거나 ②접속기록 점검 및 침입탐지 의무를 소홀히 했다는 명백한 방증이다. 따라서 법적으로 "해킹 사실을 몰랐다"는 항변은 면책 사유가 아니라, 오히려 '중대한 과실(관리 소홀)'이 있었음을 시인하는 꼴이 된다는 분석이다.
매출 3% '과징금 폭탄' 예고… 집단소송 가능성도
이번 사태로 쿠팡이 짊어져야 할 금전적 책임은 천문학적일 것으로 예상된다. 현행 개인정보 보호법(제64조의2)은 개인정보 유출 시 전체 매출액의 3% 이하를 과징금으로 부과할 수 있다. 쿠팡의 2024년 추정 매출(약 30조~40조 원대)을 감안하면 산술적으로 수천억 원대의 과징금 부과도 가능하다.
특히 유출 규모가 방대하고 탐지 실패 기간이 길다는 점, 안전조치 의무 소홀이 인정될 가능성이 높다는 점은 과징금 가중 사유가 될 수 있다. 여기에 피해자들의 집단소송이 이어질 경우 민사상 손해배상액까지 더해져 쿠팡은 창사 이래 가장 혹독한 비용 청구서를 받게 될 전망이다.
한편, 쿠팡 박대준 대표는 공식 입장문을 통해 "국민 여러분께 심려를 끼쳐드려 진심으로 사과드린다"며 고개를 숙였으나, 국회 등에서 제기된 '서명키 미갱신' 의혹에 대해서는 "사실과 다르다"며 선을 그었다. 쿠팡은 범죄를 저지른 전직 직원에 대해 강력히 법적 대응하겠다는 방침이다.
