쿠팡에서 3370만명의 개인정보가 대규모로 유출된 원인으로 인증 토큰과 서명키 관리 부실 의혹이 제기되고 있다.
퇴사한 직원이 장기간 방치된 인증키를 악용해 개인정보에 무단 접근한 것으로 드러나면서 쿠팡의 보안 관리 체계에 대한 비판이 거세지고 있다.
12월 1일 정보통신기술(ICT) 업계와 과학기술정보방송통신위원장 최민희 의원실에 따르면 쿠팡 고객 정보를 빼돌린 인물은 현재 퇴사한 인증 관련 담당자로 알려졌다.
보안업계에서는 개인 정보를 유출한 직원이 인증 관련 담당자가 맞다면, 이 직원이 인증 관련 권한을 갖고 있어 퇴사 이전부터 로그인 없이 취약점에 접근하기 쉬웠을 것으로 보고 있다.
최 의원실 등에 따르면 이 직원은 퇴사 이후 개인 정보를 유출했다고 알려졌는데, 이 과정에서 인증 토큰 서버인증키와 보안 취약점을 악용한 것으로 추정되고 있다.
인증 토큰은 로그인할 때 발행되는 출입증으로, 통상 토큰을 갖고 있으면 시스템에 로그인 없이 접근할 수 있다.
이번 쿠팡 해킹 사태에서 로그인에 필요한 토큰은 문을 열어주는 일회용 출입증이라고 한다면, 서명키는 출입증을 찍어주는 도장 역할을 한다. 출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없지만, 서명키를 오래 방치해 누군가 계속해서 도장인 서명키를 몰래 찍어서 사용한 것과 같은 상황이다.
인증 토큰은 생성과 폐기가 빠르면 1시간 이내로 완료되는 등 주기가 짧은데, 이를 생성하기 위해 필요한 것이 서명키다.
최민희 의원실 확인 결과 쿠팡 로그인 시스템상 토큰은 생성 후 즉시 폐기되는 구조임에도 토큰 생성에 필요한 서명정보를 담당 직원 퇴사 시 삭제하거나 갱신하지 않고 방치했다. 이를 내부 직원이 악용해 대규모 개인정보 유출이 발생한 것으로 조사됐다.
쿠팡이 해당 직원 퇴사 후에도 서명키를 삭제하거나 갱신하지 않았다면 해당 직원이 인증 토큰을 악용해 데이터베이스(DB)에 접속할 수 있게 되는 것이다.
국회 과학기술정보방송통신위원회 최민희 위원장이 쿠팡으로부터 받은 자료에 따르면, 쿠팡은 이번 해킹에 악용된 인증키 유효기간에 대해 경찰 수사를 이유로 답변을 회피했지만, 토큰 서명키 유효인증기간에 대해서는 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"며 "로테이션 기간이 길며, 키 종류에 따라 매우 다양하다"고 답변했다.
보안 전문가는 "(인증토큰과 서명키를 악용하면) 외부에서 접근해서 자신의 (인증) 권한을 행사할 수 있었을 것"이라며 "로그인 없이 데이터베이스(DB)를 빼냈다는 건 인증토큰을 활용했다는 가능성이 높다는 의미"라고 말했다.
염흥열 순천향대 정보보호학과 교수는 "통상 퇴사하면 모든 계정, 모든 접근 권한을 뺏어야 한다"라며 "만약 쿠팡이 이를 살려뒀다면 이러한 관리 방침이 이해되지 않는다"라고 말했다.
최민희 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 질책했다.
특히 쿠팡의 개인정보 유출 사고는 해커 등 외부 사이버 공격에 이뤄졌던 여타 개인정보 유출 사고와 달리 내부자의 소행이라는 점에서 차별점이 있다.
지난 2011년 3500만명의 개인정보가 유출된 싸이월드-네이트의 경우 중국 해커가 이스트소프트 알집 업데이트 서버를 해킹하면서 시작됐고, 지난 4월 2300만명의 개인정보가 유출된 SK텔레콤도 외부 해커의 개인정보 유출이 발단이 됐다.
염흥열 교수는 "퇴사한 직원이 이렇게 대규모로 개인정보를 유출한 건 이번이 처음인 것으로 안다"라고 말했다.
쿠팡은 11월 29일 개인정보가 노출된 고객 계정 수가 3370만개로 확인됐다고 밝혔다. 이는 지난 11월 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 처음 인지한 후 후속 조사를 통해 확대된 규모다.
쿠팡 자체 조사 결과에 따르면 지난 6월 24일부터 해외 서버를 통해 자사 시스템에 대한 무단 접근이 발생한 것으로 추정된다. 이는 쿠팡이 약 5개월간 해킹 사실을 인지하지 못했다는 것을 의미한다.
유출된 정보는 이름, 이메일 주소, 배송지 주소록에 입력된 이름·전화번호·주소, 일부 주문 정보 등이다. 다만 결제 정보, 신용카드 번호, 로그인 정보 등은 포함되지 않았다고 쿠팡은 밝혔다.
최민희 위원장은 "KT 펨토셀 사태에서 드러난 장기 인증키 방치 문제가 쿠팡에서도 동일하게 재현된 것은 우리 기업들의 낮은 보안 책임 의식을 보여준다"며 "IT, 테크기업들은 인증키 로테이션을 포함해 전반적인 보안체계를 긴급히 재정비해야 한다"고 촉구했다.
올해 KT 해킹 사태에서도 펨토셀 인증키 유효기간이 10년으로 설정돼 관리·감독 부실 문제가 드러난 바 있다. 쿠팡 역시 장기 유효 인증키를 방치해 내부 직원의 악용을 허용한 셈이다.
이번 대규모 개인정보 유출 사태가 물류 확장 대비 보안 투자 소홀에서 비롯된 예견된 인재라는 지적도 나온다.
한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 지난 10년간 물류 인프라 확장에 약 10조원을 투입한 반면, 고객 정보를 보호하는 보안 투자에는 매출의 0.2% 수준만 집행한 것으로 나타났다. 글로벌 스탠다드가 매출의 1% 내외인 것을 감안할 때 5분의 1밖에 되지 않는 수치다.
쿠팡의 정보보호 투자액은 2022년 535억원, 2023년 632억원, 2024년 860억원으로 집계됐다.
보안업계 관계자는 "주요 글로벌 플랫폼 기업들은 보안을 최우선 순위에 두고 통상 IT 예산의 10% 이상을 배정한다"며 "매출 50조원 시대를 바라보는 쿠팡이 0.2% 수준의 보안 투자 기조를 유지한다면 대규모 유출 사고는 언제든 재발할 수 있다"고 경고했다.
쿠팡은 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등 관계 기관에 신고했으며, 현재 경찰 수사가 진행 중이다. 무단 접근 경로를 차단하고 내부 모니터링을 강화했으며 외부 보안 전문가를 영입했다고 밝혔다.
쿠팡은 문제의 토큰 서명키는 전량 폐기했다고 밝히며, 추가 침해를 막기 위해 탐지 규칙을 강화하고 모니터링 범위를 확대했다고 설명했다.
정부는 민관합동조사단을 구성해 사고 원인 분석과 재발 방지 대책을 마련할 계획이다. 개인정보보호위원회는 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 제재한다는 방침이다.
이번 사고는 SK텔레콤의 개인정보 유출 사고(2324만명)를 넘어서는 국내 최대 규모로, 역대 최대 과징금 처분이 예상된다. SK텔레콤은 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금인 1348억원 처분을 받은 바 있다.
집단소송 움직임도 본격화되고 있다. 법률사무소 호인은 12월 24일 쿠팡을 상대로 손해배상 소송을 제기할 계획을 밝히고 참여자를 모집 중이다. 과거 판례에서 인정된 1인당 10만원의 위자료를 기준으로 할 경우 단순 계산으로 3조3700억원의 배상금이 청구될 수 있다.
[힐링경제=하현수 기자]