"카드 정보 안전하다"는 쿠팡 믿어도 될까…전문가가 "장담 못 한다" 경고한 근거
"카드 정보 안전하다"는 쿠팡 믿어도 될까…전문가가 "장담 못 한다" 경고한 근거
3370만 명 개인정보, 퇴사자 손에 놀아났다
보안 전문가 "해고 앙심 품은 내부자 소행 무게... 결제 정보 안심은 금물"
쿠팡에서 무려 3370만 명의 개인정보가 유출된 사실이 뒤늦게 드러났다. 문제는 내부자가 퇴사 후에도 시스템 접근 권한을 유지하고 있었다는 것이다. /연합뉴스
지난 11월 중순, 20대 남성 박 모 씨는 영문으로 작성된 이메일 한 통을 받았다. "쿠팡의 개인 정보가 잠재적 유출 위험에 놓여 있다"는 경고와 함께, 그의 이름과 주소는 물론 주문한 물건명, 심지어 공용 현관 비밀번호까지 적나라하게 적혀 있었다.
박 씨의 신고로 세상에 드러난 쿠팡 개인정보 유출 사건. 피해 규모만 무려 3370만 명에 달한다. 유출 시점은 6월이었지만, 쿠팡은 6개월이 지나도록 까맣게 몰랐다. 범인은 왜 굳이 피해자에게 직접 알리는 방식을 택했을까. 그리고 어떻게 보안망을 뚫었을까.
2일 CBS 라디오 '김현정의 뉴스쇼'에 출연한 김승주 고려대 정보보호대학원 교수는 이번 사건을 "해고에 앙심을 품은 내부자의 소행"으로 분석하며, 허술한 보안 관리 실태를 꼬집었다.
돈 달라고 협박 안 해... 앙심 품은 복수극 가능성
김승주 교수는 범인이 금전적 이득보다 회사에 대한 타격을 노렸을 가능성에 무게를 뒀다. 김 교수는 "돈을 노렸다면 발견되기 전에 회사에 먼저 연락해 협박했을 것"이라며 "5개월이나 지나 일반 이용자들에게 알린 건 '너 한번 당해봐라'는 의도가 강해 보인다"고 설명했다.
실제로 쿠팡 내부에서는 퇴사한 중국인 개발자가 앙심을 품고 범행을 저질렀다는 이야기가 돌고 있는 것으로 알려졌다.
범행 수법에 대해 김 교수는 "호텔 방 키를 발급하는 문지기가 마스터키를 들고 나간 격"이라고 비유했다. 시스템 접속 권한인 '인증 토큰'을 발급할 수 있는 비밀번호를 퇴사자가 몰래 챙겨 나갔다는 것이다.
국가 인증(ISMS-P) 받았는데... 퇴사자 권한 회수도 안 했다?
문제는 쿠팡이 정부로부터 정보보호 관리체계 인증(ISMS-P)을 받은 기업이라는 점이다. ISMS-P 인증 항목에는 '퇴직자의 접근 권한 회수'가 명시돼 있다.
김 교수는 "퇴직 시 비밀 키나 비밀번호를 리셋해야 하는데, 그게 제대로 안 돼서 사고가 났다"며 "인증 심사가 서류 위주로 진행되다 보니 실제 관리에 구멍이 뚫린 것"이라고 지적했다.
카드 정보 안전하다? 단정 짓기 일러... 비밀번호부터 바꿔야
쿠팡 측은 "카드 비밀번호 등 결제 정보는 유출되지 않았다"고 해명했지만, 김 교수는 "단언하기 위험하다"고 경고했다. 과거 해킹 사례를 보면 조사 과정에서 추가 피해 사실이나 과거 침해 흔적이 드러나는 경우가 많았기 때문이다.
김 교수는 "유출된 정보만으로도 보이스피싱 등에 악용될 수 있어 위협적"이라며 "개인이 할 수 있는 최선은 쿠팡에 연동된 결제 정보를 삭제하고, 비밀번호를 변경하는 것"이라고 조언했다.
다국적 기업 '꼬리 자르기' 우려... 내부자 보안 법·제도 정비 시급
이번 사건은 '내부자 보안'의 중요성을 다시금 일깨웠다. 김 교수는 "미국은 에드워드 스노든 사건 이후 내부 기밀 유출에 민감하게 반응한다"며 "우리도 내부자에 의한 공격을 방어하고 처벌할 법적 근거를 마련해야 한다"고 강조했다.
또한, 쿠팡과 같은 다국적 기업의 경우 책임 소재를 규명하기 어려운 현실도 짚었다. 김 교수는 "상층부가 대부분 외국인이라 소환 조사조차 쉽지 않다"며 "한국 직원 선에서 꼬리 자르기로 끝날 우려가 있어 이에 대한 대책 고민이 필요하다"고 덧붙였다.
