CloudPNG

ºC

logo
IT/바이오

“ISMS P 인증도 무력화”…쿠팡, 3400만건 유출에 1조 과징금 촉각

윤선우 기자
입력

쿠팡 대규모 개인정보 유출 사고가 고도의 외부 해킹이 아니라 허술한 내부 통제에서 비롯된 것으로 드러나면서, 역대급 과징금 제재 가능성이 부각되고 있다. 3000만건이 넘는 고객정보가 5개월간 빠져나가는 동안 200명 규모 보안 조직이 이상 징후를 전혀 포착하지 못했고, 퇴사자의 핵심 권한 회수조차 이뤄지지 않았다. 정부가 최근 연이은 대형 사고를 계기로 강경 기조를 밝힌 만큼, 업계에서는 쿠팡이 법정 상한선에 근접한 과징금을 부과받는 ‘분기점 사례’가 될 수 있다는 관측을 내놓고 있다.

 

이번 사태는 3370만명 규모의 개인정보가 유출된 사건으로, 쿠팡이 공인 보안 인증을 가진 상태에서 벌어진 점이 파장을 키운다. 개인정보보호위원회에 따르면 유출 사고는 지난 6월 24일부터 11월 8일까지 약 5개월간 지속됐고, 고객명과 이메일, 배송지, 전화번호, 주소 등 3000만건이 넘는 정보가 외부로 무단 반출됐다. 쿠팡은 지난 16일이 돼서야 피해 고객 신고를 통해 사고를 인지했다고 설명했다.

직접적인 원인은 퇴사자 관리 실패였다. 지난해 12월 퇴사한 내부 인력이 이전에 사용하던 프라이빗 서명 키를 통해 시스템에 계속 접근할 수 있었던 것으로 조사됐다. 쿠팡은 내부 프라이빗 사이닝 키가 외부로 유출됐고, 이 키로 위조된 액세스 토큰을 발급해 API 인증이 가능해졌다고 인정했다. 다시 말해 정상 사용자에게만 발급돼야 할 전자 출입증을, 내부 비밀키를 이용해 무제한 위조하는 통로가 열린 셈이다.

 

정보보호 전문가들은 이를 호텔 방 키 관리에 빗댄다. 내부 개발자가 ‘방 키를 만드는 비밀번호’를 들고 나가, 호텔 밖에서 임의로 객실 키를 계속 찍어낸 상황이라는 것이다. 김승주 고려대 정보보호대학원 교수는 이런 구조라면 퇴사 이후뿐 아니라 재직 시기에도 결제 정보나 로그인 정보 등 민감 데이터가 탈취됐을 가능성을 배제할 수 없다고 지적한다. 그럼에도 장기간 이상 징후가 탐지되지 않았다는 점에서, 계정·권한·로그 관리 전반의 설계와 운영에 중대한 결함이 있었던 것으로 보인다.

 

논란을 키운 대목은 쿠팡이 이미 ISMS P 인증을 보유·갱신한 사업자라는 점이다. ISMS P는 정보보호 및 개인정보보호 관리체계 인증으로, 일정 수준 이상의 기술적·관리적 보호조치가 갖춰졌다는 의미다. 특히 인증 기준에는 인사 이동과 퇴직 시 접근 권한 회수, 계정 말소 등 기본적인 계정 lifecycle 관리 의무가 포함돼 있다. 그럼에도 퇴사자가 핵심 서명 키를 계속 사용할 수 있었던 점은, 인증 체계의 실효성에 대한 의문과 함께 쿠팡의 내부 준수 체계가 ‘서류용’에 그쳤다는 비판으로 이어지고 있다.

 

쿠팡의 보안 투자 규모도 도마 위에 올랐다. 브랫 매티스 최고정보보안책임자에 따르면 쿠팡 보안 조직 인력은 약 200명으로, 공시 기준 네이버 130여명, 카카오 90여명보다 많고 SK텔레콤 220여명과 비슷한 수준이다. 외형상 ‘대형 보안 조직’을 갖추고도 퇴사자 권한 회수와 서명 키 관리처럼 가장 기초적인 통제 영역이 뚫린 셈이다. 국회 과학기술정보방송통신위원회 소속 최수진 의원은 “인력 규모만 키워놓고 실제 내부 관리는 방치한 것 아니냐”며 “보안이 철저한 척한 정도를 넘어, 조직 운영 철학 자체에 문제가 있다”고 비판했다.

 

쿠팡은 이번 사고 이전에도 반복적인 개인정보 유출로 행정 제재를 받았다. 2021년 쿠팡이츠 배달원 13만5000여명 개인정보가 유출됐고, 2023년에는 판매자 전용 시스템 윙에서 주문자와 수취인 2만2000여명 정보가 노출돼 정부로부터 총 16억원 규모 과징금을 부과받았다. 그럼에도 지난해 ISMS P를 재인증 받으면서 ‘최소한의 보안 관리 체계는 유효하다’는 공식 평가를 받았고, 이후에도 내부 관리 미흡이 누적돼 초대형 사고로 이어졌다는 점에서 책임 공방이 확산되고 있다.

 

정책 측면에서는 정부의 제재 기조 변화가 변수다. 이정렬 개인정보보호위원회 부위원장은 2일 국회 현안 질의에서 “기존 처분은 작았다고 본다”며 “실정에 맞게 비례하고 엄중하게 책임을 물을 방법을 적극 검토하겠다”고 밝혔다. 이재명 대통령 역시 국무회의에서 “사고 발생 후에도 회사가 유출 사실을 파악하지 못한 점이 놀랍다”며 “원인 규명과 엄정한 책임 추궁이 필요하다”고 강조했다. 반복되는 대형 유출 사고 앞에서 ‘솜방망이 처벌’ 비판을 의식한 발언으로 해석된다.

 

법적 틀은 이미 고강도 제재를 허용하고 있다. 개인정보보호법은 개인정보 도난·유출 시 관련 매출액의 최대 3퍼센트를 과징금으로 부과할 수 있도록 규정한다. 쿠팡의 지난해 연 매출은 302억6800만 달러, 당시 환율 기준 약 41조2900억원으로, 단순 적용 시 법정 상한액은 약 1조2387억원 수준이다. 물론 실제 부과액은 위반 행위 수준, 고의성 여부, 시정 노력 등을 고려해 산정된다.

 

비교 사례로는 SK텔레콤 제재가 거론된다. 개인정보위는 약 2300만명 정보 유출 사고에 대해 SK텔레콤을 ‘매우 중대한 위반 행위’로 분류하고, 안전조치 의무 위반과 통지 지연을 사유로 1347억9100만원의 과징금을 부과했다. 무선 매출 10조6700억원을 기준으로 감경을 거친 후 2.1에서 2.7퍼센트 수준이 적용됐다. 쿠팡 역시 유출 규모와 탐지 지연, 반복 위반 여부를 감안해 같은 등급으로 평가될 경우 이론상 1조원을 넘는 과징금이 현실화될 수 있다는 분석이 나온다.

 

시장과 산업 측면에서도 파장이 적지 않을 전망이다. 이커머스 플랫폼은 결제 정보, 구매 이력, 위치 기반 배송지 데이터 등 생활 전반의 행태 정보를 보유한다. 내부 키 관리와 퇴사자 통제가 실패할 경우, 데이터가 한 번에 대량으로 복제될 수 있다는 점에서 전통 통신사나 카드사보다 위험 범위가 넓다는 평가도 있다. 실제로 쿠팡 사고 이후 다른 대형 플랫폼·핀테크·모빌리티 기업 내부에서도 계정·키 관리 체계를 재점검하는 움직임이 포착되고 있다.

 

전문가들은 이번 사건이 ISMS P 등 기존 인증 제도의 재설계 논의로 확산될 수 있다고 본다. 인증 이후에도 실시간 모니터링과 정기 심사, 퇴사자 계정 무력화 여부 등에 대한 사후 검증을 강화해야 한다는 주문이다. 한 보안업계 관계자는 “지금 구조는 한 번 인증을 받으면 몇 년간 ‘면허’처럼 작동하는 면이 있다”며 “키 관리, 내부자 위협 탐지 같은 영역을 중심으로 상시 평가 모델을 도입할 필요가 있다”고 말했다.

 

개인정보위의 제재 수위와 별개로, 쿠팡은 집단 소송과 해외 투자자 대응 등 추가 리스크까지 안게 됐다. 대규모 과징금이 현실화될 경우 재무 구조와 투자 전략에 미치는 영향도 불가피하다. 산업계에서는 이번 사건이 국내 플랫폼 업계 전반에 대한 ‘경고 사례’가 될 수 있다며, 인증 중심에서 실제 운영 성숙도로 무게 중심을 옮기는 계기로 삼아야 한다는 목소리를 내고 있다. 결국 개인정보 유출을 둘러싼 기술과 제도, 처벌과 예방 사이의 균형이 디지털 경제의 신뢰를 가르는 새 기준이 되고 있다.

윤선우 기자
share-band
밴드
URL복사
#쿠팡#isms-p#개인정보보호위원회