CloudPNG

ºC

logo
IT/바이오

“국내최고 보안인증 맞나”…쿠팡, ISMS-P 보유에도 4번째 유출

전민준 기자
입력

정보보호와 개인정보보호를 통합한 국내 최고 수준 관리인증이라는 ISMS-P를 취득한 기업들에서 대형 유출 사고가 잇따르고 있다. 연간 수백억원대 보안 투자를 집행하는 대형 통신·커머스 기업들조차 연쇄적으로 뚫리면서, 인증 제도 자체가 실제 보안 역량을 제대로 반영하지 못한다는 지적이 커지고 있다. 업계에서는 ISMS-P가 법적 최소 요건을 확인하는 ‘통과 의례’로 소비되는 사이, 실시간 위협 관제와 내부 통제 같은 핵심 관리가 뒷전으로 밀려났다는 평가가 나온다.

 

1일 업계에 따르면 약 3370만명 규모로 추산되는 대규모 개인정보 유출이 발생한 쿠팡은 2021년에 이어 지난해 ISMS-P 인증을 갱신한 상태였다. 그럼에도 최근 5년간 4차례 개인정보 유출 사고가 반복됐다. 2021년에는 쿠팡이츠 배달원 13만5000여명의 개인정보가 노출됐고, 같은 해 쿠팡 앱 검색창과 배너 광고 사이에서 회원 31만여명의 이름과 주소 일부가 노출됐다. 2023년에는 판매자 전용 시스템인 윙에서 주문자·수취인 2만2000여명의 개인정보가 새어나간 데 이어, 올해는 3000만명을 훌쩍 넘는 대규모 유출이 추가로 발생했다.

문제는 사고의 단위뿐 아니라 탐지 지연이다. 쿠팡은 지난해 ISMS-P 재인증을 마쳤지만, 실제 정보 유출이 시작된 시점으로부터 약 5개월이 지난 뒤인 지난달에서야 이상 징후를 파악했다. 해킹 시도나 이상 징후를 탐지하는 상시 모니터링 체계, 접근권한 관리, 퇴사자 계정 통제 등 기본적인 관리 절차에서 허점이 드러난 셈이다.

 

쿠팡은 형식적인 투자 부족 논란과는 거리가 있다. 한국인터넷진흥원 집계에 따르면 쿠팡의 올해 정보보호 투자액은 890억원 수준으로, 유통업계 최고 수준에 속한다. 전담 조직과 예산, 각종 인증제도까지 갖추고도 관리 공백을 막지 못하며, 보안 투자의 ‘실질 운영’과 ‘제도 통과용 준비’ 사이 괴리가 표면화됐다는 평가가 제기된다.

 

이번 사고는 기술적 침투보다 내부 통제 미흡이 사고를 키운 대표적 사례라는 분석이 우세하다. 국회 과학기술정보방송통신위원회 소속 최민희 위원장이 공개한 자료에 따르면, 쿠팡은 로그인에 필요한 액세스 토큰을 생성하는 서명키 유효기간을 5년에서 10년 수준으로 설정했다. 담당 직원이 퇴사해도 이 서명키를 갱신하거나 무효화하지 않았고, 이 과정에서 퇴사자가 장기간 유효한 인증키를 활용해 대규모 정보에 접근할 수 있는 구조가 방치됐다는 지적이 나왔다.

 

보안 시스템 관점에서 토큰은 일시적으로 출입을 허가하는 일회용 출입증에, 서명키는 출입증을 발급하는 도장에 비유된다. 쿠팡은 서명키라는 ‘도장’을 수년간 그대로 둔 채 퇴사자 관리도 제대로 하지 않아, 인증체계를 악용한 내부자나 전직자가 언제든 출입증을 찍어낼 수 있는 구조를 만든 셈이라는 비판이 뒤따른다. 최 위원장은 장기 유효 인증키 방치는 단순 개인 일탈이 아니라 인증체계를 방치한 조직적·구조적 문제라고 꼬집었다.

 

ISMS-P 제도 자체에 대한 근본적인 회의도 커지고 있다. ISMS-P는 2018년 ISMS와 PIMS를 통합하며 출범한 국내 유일의 정보보호·개인정보보호 통합 인증이다. 관리체계 16개, 보호대책 64개 등 ISMS 80개 기준에 개인정보 처리 단계별 21개 항목을 추가해 총 101개 요건 충족 여부를 평가한다. 취득 기업은 법적 준수와 체계적 관리 수준을 갖췄다고 홍보해 왔다.

 

올해만 보더라도 SK텔레콤, KT, 롯데카드, 예스24, 넷마블, 쿠팡 등 굵직한 유출 사고를 겪은 기업들이 모두 ISMS-P 인증을 받은 상태였다. 개인정보보호위원회 자료에 따르면, 개인정보위가 장관급 중앙행정기관으로 격상된 2020년 이후 현재까지 ISMS-P 인증 기업 27곳에서 총 34건의 개인정보 유출이 집계됐다. 인증을 앞세워 “국내 최고 수준 보안 역량”을 자임했던 기업 이미지와는 다른 실적이다.

 

전문가들은 ISMS-P가 규정과 절차 준수 여부를 일시적으로 확인하는 데 초점이 맞춰져 있어, 실시간으로 진화하는 공격과 상시 운영 수준을 반영하기 어렵다고 지적한다. 충남대 원유재 교수는 ISMS-P를 기업이 보안을 위해 갖춰야 할 최소한의 조직과 절차를 평가하는 제도라고 규정하면서, 약 일주일간의 심사 기간 동안의 상태와 이력만을 보는 구조상 공격자가 연중 무휴로 빈틈을 노리는 현실과 시차가 발생하는 것은 불가피하다고 말했다.

 

현행 제도의 기본 구조도 이런 한계를 키운다는 평가가 나온다. ISMS-P 인증 유효기간은 3년이며, 이 기간 동안 연 1회 사후 심사를 받는다. 이 과정에서 특정 시점의 보안 수준을 집중 점검하는 ‘스냅샷’ 방식이 반복되면서, 심사 직전만 보안 수준을 끌어올린 뒤 곧바로 관리가 느슨해지는 ‘인증 이벤트화’ 현상이 나타난다는 지적이다. 심사 직후 등장하는 신규 취약점에 대해서도 대응이 늦어질 수밖에 없다.

 

원 교수는 보안 취약점은 1년에 한 번 심사 때만 생기는 것이 아니라 수시로 발생한다며, 인증 취득 자체보다 이후에 기업이 신규 취약점에 어떻게 상시 대응하고 관리 체계를 업데이트해 나가는지가 핵심이라고 강조했다. ISMS-P를 ‘보안 우등생’ 타이틀로만 소비할 것이 아니라 인력·예산·프로세스를 포함한 실질적인 상시 보안 운영의 최소 기반으로 삼아야 한다는 설명이다.

 

업계에서도 유사한 문제의식을 공유한다. 한 정보보안 업계 관계자는 ISMS-P가 최소한의 법적·절차적 기준 충족 여부를 보는 제도일 뿐, 실시간으로 변하는 보안 위협을 전면적으로 막아주는 방패로 볼 수 없다고 꼬집었다. 인증 획득을 곧 ‘보안 완결’로 인식하는 기업 문화가 내부 통제 강화와 탐지·대응 역량 투자를 지연시켜 사고를 키웠다는 평가도 나온다.

 

정부도 뒤늦게 제도 보완에 나서는 분위기다. 관련 부처는 서면 위주의 심사를 점차 줄이고 실제 현장 점검을 확대하는 방향으로 ISMS-P 운영 방식을 바꾸겠다는 방침을 내놨다. 인증 이후 중대한 결함이나 반복적인 사고가 발생할 경우 인증 취소 등 제재 수단을 강화하고, 모의해킹과 화이트해커를 활용한 상시 취약점 점검 체계도 도입할 계획이다. 인증이 ‘면허증’에 그치지 않고 일종의 상시 관리 계약에 가깝게 작동하도록 구조를 손보겠다는 구상이다.

 

전문가들은 제도 개선과 함께 기업 내부의 인식 전환 없이는 유사 사고가 반복될 수 있다고 경고한다. 최소한의 규정 준수와 형식적 인증 취득만으로는 클라우드, 모바일, 사내 시스템이 촘촘히 연결된 초연결 환경의 보안 리스크를 감당하기 어렵다는 점에서다. 한 보안 전문가는 인증제도는 출발점일 뿐이며, 침해사고를 가정한 상시 모의훈련, 내부자 위협 관리, 퇴사자 계정·키 회수 같은 기본 절차를 얼마나 집요하게 실행하느냐가 실제 보안 수준을 갈라놓는다고 말했다.

 

ISMS-P를 둘러싼 논란은 결국 규정 중심 심사에서 운영·성과 중심 평가로의 전환 필요성을 부각시키고 있다. 산업계는 인증 취득과 막대한 보안 예산이 실제로 사고 감소로 이어지는 구조를 만들 수 있을지, 제도와 현장의 간극이 줄어드는 방향으로 개편이 진행될지 예의주시하고 있다.

전민준 기자
share-band
밴드
URL복사
#쿠팡#isms-p#개인정보유출