CloudPNG

ºC

logo
IT/바이오

쿠팡 서버 취약점 노린 대규모 유출…정부, 플랫폼 보안 전면 재점검

신도현 기자
입력

쿠팡 침해사고가 국내 플랫폼 산업 전반의 보안 체계를 다시 도마 위에 올리고 있다. 통신과 금융 부문에 이어 대형 전자상거래 플랫폼까지 연쇄적으로 공격을 당하면서, 대규모 개인정보를 다루는 민간 디지털 인프라의 취약성이 적나라하게 노출된 모습이다. 정부는 이번 사태를 계기로 개인정보 보호 의무 위반 여부와 함께 클라우드 기반 대형 서버 구조의 보안 기준을 전면 재점검할 것으로 보여, 향후 IT·플랫폼 산업의 보안 투자와 규제 환경에도 직접적인 영향을 줄 전망이다.

 

배경훈 부총리 겸 과학기술정보통신부 장관은 15일 정부서울청사에서 쿠팡 침해사고 및 개인정보 유출 관련 관계부처 긴급 대책회의를 열고 사건 경위를 공식 설명했다. 과기정통부는 지난 11월 19일 쿠팡으로부터 침해사고 신고를 접수한 뒤, 20일 개인정보 유출 신고를 추가로 받고 현장 조사를 진행 중이다. 배 부총리는 공격자가 쿠팡 서버의 취약점을 악용해 정상 로그인 절차를 거치지 않고 접근했으며, 이 과정에서 3000만건 이상 고객 이름과 이메일, 배송지, 전화번호 등이 유출된 것으로 파악된다고 밝혔다.

이번 공격은 사용자의 아이디와 비밀번호를 훔쳐 로그인 시도를 반복하는 전형적 계정 탈취 방식이 아니라, 서버 측 취약 지점을 직접 노려 인증 절차를 우회한 형태로 분석되고 있다. 웹 애플리케이션 취약점이나 접근 권한 설정 오류, 암호화 적용 미비 등 서버단 보안 약점이 악용됐을 가능성에 무게가 실린다. 특히 서버에서 인증 토큰이나 내부 API를 검증 없이 호출할 수 있는 허점이 있었다면, 공격자가 대량의 계정 정보를 짧은 시간에 추출했을 개연성도 제기된다.

 

정부는 사고 원인 규명을 위해 민관 합동 조사단을 가동했다. 합동 조사단은 쿠팡의 서버 아키텍처, 접근통제 시스템, 로그 기록, 암호화 수준 등을 면밀히 살펴, 개인정보 보호법에 규정된 안전 조치 의무 위반 여부를 확인할 계획이다. 여기에는 관리적 보호조치인 보안 조직과 정책, 기술적 보호조치인 침입탐지 시스템과 암호화, 물리적 보호조치인 서버실 접근 관리까지 모두 포함된다. 조사 결과에 따라 과징금 부과나 형사 조치가 뒤따를 수 있다.

 

산업적 파장은 적지 않다. 쿠팡은 이커머스와 물류를 결합한 대표적인 온라인 플랫폼으로, 방대한 고객 행동 데이터와 배송 정보를 기반으로 추천 알고리즘과 물류 자동화 시스템을 고도화해 왔다. 이런 데이터가 공격자의 표적이 된 것은, 대규모 플랫폼사 데이터가 곧 경제적 자산이자 사이버 범죄의 핵심 먹잇감이 됐다는 방증이다. 고객 입장에서는 카드번호 등 금융 직결 정보가 포함되지 않았다고 하더라도, 이름과 연락처, 주소 정보만으로도 피싱과 스미싱, 계정 도용 시도가 이어질 수 있어 체감 리스크는 높다.

 

최근 국내에서는 통신사와 금융사를 겨냥한 대규모 침해사고가 연달아 발생한 바 있다. 이동통신 가입자 정보와 금융 거래 기록 등 핵심 인프라 데이터가 새나간 데 이어, 국민이 일상적으로 사용하는 쇼핑 플랫폼까지 추가 피해가 발생하면서 디지털 경제 전반의 신뢰도 저하 우려가 커지고 있다. 글로벌 시장에서도 전자상거래 기업을 겨냥한 침해사고가 반복되고 있어, 한국 플랫폼 산업도 예외가 아니라는 시각이 힘을 얻고 있다.

 

규제 측면에서는 개인정보 보호법과 정보통신망법의 실효성이 다시 시험대에 올랐다. 두 법은 대규모 개인정보 처리자의 기술적·관리적 보호조치 의무를 규정하고 있으며, 침해사고 발생 시 신속한 통지와 피해 최소화 조치도 요구한다. 다만 클라우드 기반으로 분산 운영되는 최신 플랫폼 환경에서, 전통적인 보안 점검 항목만으로 실제 위험을 충분히 감지·차단할 수 있는지에 대한 의문이 커지고 있다. 서버 취약점 분석과 침해사고 가정 훈련, 제로 트러스트 아키텍처 같은 최신 방어 개념을 규제 가이드라인에 반영해야 한다는 목소리도 나온다.

 

정부는 이번 사고를 악용한 2차 피해 차단에 우선 초점을 맞추고 있다. 배 부총리는 쿠팡을 사칭한 전화와 문자 등을 통한 피싱, 스미싱 공격으로 추가 개인정보 탈취나 금전 피해가 이어지지 않도록 대국민 보안 공지를 진행 중이라고 설명했다. 이용자들에게는 모르는 발신자의 링크 클릭 자제, 의심 문자 삭제, 계정 비밀번호 변경과 이중 인증 설정 등 기본 보안 수칙 준수가 요구된다.

 

전문가들은 쿠팡 사태가 단일 기업의 관리 소홀을 넘어, 대규모 플랫폼이 사실상 공공 인프라 수준의 역할을 하는 현실을 보여주는 사건이라고 진단한다. 이용자 수가 수천만명에 이르고 결제와 물류, 콘텐츠까지 연계된 플랫폼의 경우, 침해사고 한 번이 금융, 통신, 유통을 가로지르는 연쇄 리스크로 번질 수 있어서다. 플랫폼사에 공공기관 수준의 보안 관리 체계를 요구하고, 보안 투자 내역과 점검 결과를 일정 부분 공개하도록 하는 제도 개선론도 힘을 얻고 있다.

 

정부와 산업계는 쿠팡 사고 조사 결과를 토대로 대형 IT 플랫폼 전반에 대한 보안 수준 점검과 재발 방지 대책을 마련할 전망이다. 사이버 공격의 정교함이 높아지는 만큼, 단순한 사후 대응을 넘어 설계 단계에서부터 보안을 내재화하는 체계 변환이 필요하다는 지적이 나온다. 산업계는 이번 사고를 계기로 플랫폼 보안이 실제 시장 신뢰와 직결되는 핵심 경쟁력이 됐다는 점을 재확인하고, 기술과 조직, 제도가 함께 작동하는 지속 가능한 방어 체계를 구축할 수 있을지 주시하고 있다.

신도현 기자
share-band
밴드
URL복사
#쿠팡#배경훈#개인정보유출