CloudPNG

ºC

logo
IT/바이오

쿠팡 개인정보 유출 후폭풍…보안전문가, 카드삭제 권고 파장

한지성 기자
입력

쿠팡 대규모 개인정보 유출 사고가 전자상거래 보안 리스크 경고등을 켜고 있다. 고객 3370만명 규모의 정보가 외부로 빠져나간 가운데, 국회 국정감사장에서 보안 전문가는 최악의 시나리오를 전제로 한 강도 높은 조치를 이용자에게 권고했다. 반면 쿠팡 경영진은 로그인 정보와 결제 정보는 유출 범위에 포함되지 않았다며 과도한 공포 확산을 경계하는 입장을 내놔, 사고 이후 대응 원칙을 둘러싼 시각차가 드러났다. 업계는 이번 사태를 국내 커머스 플랫폼 계정·결제 인프라의 구조적 취약성을 드러낸 분기점으로 보고 있다.  

 

2일 국회 과학기술정보방송통신위원회 쿠팡 침해사고 관련 현안 질의에서 김승주 고려대 정보보호대학원 교수는 쿠팡 이용자에게 당장 실행할 보안 수칙 세 가지를 제시했다. 쿠팡에 등록된 신용카드·체크카드 등 모든 결제수단 삭제, 카드 결제용 비밀번호 변경, 쿠팡 계정 비밀번호 변경이다. 김 교수는 잠재적 피해 범위가 아직 충분히 규명되지 않았다고 보고 선제적 차단에 무게를 뒀다.  

김 교수는 결제 카드를 쿠팡에 등록한 고객이라면 카드 정보를 모두 삭제하고, 카드 결제 비밀번호와 쿠팡 로그인 비밀번호를 가능한 한 빠르게 교체하는 편이 안전하다고 조언했다. 사고 직후 쿠팡이 발표한 유출 항목 목록에 결제 정보가 포함되지 않았더라도, 내부 개발 권한과 접근 권한을 가진 인력이 장기간 시스템을 볼 수 있었던 만큼 사전 탈취 가능성을 배제해선 안 된다는 설명이다.  

 

같은 자리에서 박대준 쿠팡 사장은 로그인 정보와 결제 정보 등 핵심 인증 데이터는 유출되지 않았다고 재차 강조했다. 박 사장은 결제 정보 노출 정황이 확인된 바 없고, 과도한 수준의 조치 안내는 이용자의 불안만 키울 수 있다고 우려를 표했다. 플랫폼 사업자가 확정된 침해 범위에 기반해 대응하겠다는 입장과, 보안 전문가가 불확실성을 감안해 방어선을 한 단계 더 올리자는 제안이 맞선 셈이다.  

 

이번 사고의 구조적 문제는 퇴사한 직원이 계속해 핵심 시스템에 접근할 수 있었던 계정·권한 관리 방식에서 드러났다. 김 교수에 따르면 쿠팡은 고객 로그인에 필요한 액세스 토큰을 생성하는 서명키, 즉 인증키를 적시에 교체하거나 폐기하지 않았다. 이로 인해 전 직원을 포함한 내부 개발자가 조직을 떠난 이후에도 토큰 발급 체계에 사실상 무기한 접근할 수 있는 환경이 유지됐다는 설명이다.  

 

김 교수는 사고 유형을 호텔 마스터키에 비유했다. 호텔 방 출입카드에 해당하는 액세스 토큰을 만드는 비밀번호, 즉 서명키를 개발자가 외부로 가져간 상황이라는 것이다. 이 서명키를 통해 무한대로 방 키를 만들 수 있고, 그 키로 고객 정보가 보관된 각 방, 다시 말해 개별 계정 영역에 출입할 수 있게 된다. 비밀번호를 몰라도 시스템이 사용자를 정상적인 고객으로 오인하도록 만드는 프리패스 권한이 탈취된 셈이라 위험도가 크다고 지적했다.  

 

또한 김 교수는 이번에 실제 유출이 확인된 시점인 퇴사 이후뿐 아니라 재직 기간 동안에도 결제 정보나 로그인 정보를 포함한 민감 데이터에 접근했을 가능성을 열어두고 분석해야 한다고 강조했다. 내부 개발자 계정과 시스템 접근 권한 관리, 권한 종료 절차가 허술하면 침해 시점을 특정하기 어렵고, 유출 범위 또한 축소 파악될 수 있다는 경고다.  

 

최민희 국회 과방위원장은 이용자들에게 구체적 선택권을 제공할 필요가 있다고 목소리를 높였다. 최 위원장은 최악의 상황을 가정한 행동 수칙을 국민에게 충분히 알리고, 각자가 카드 삭제와 비밀번호 변경 등 조치를 취할지 결정할 수 있게 해야 한다고 말했다. 정보 주체인 이용자가 위험 수준과 대응책을 이해하고 자율적으로 판단하는 구조가 중요하다는 취지다.  

 

정부도 이번 쿠팡 사고를 계기로 2차 피해에 대한 경고 수위를 높이고 있다. 지난달 29일 정부는 대국민 공지를 통해 유출 정보를 악용한 스미싱 문자, 보이스피싱 전화를 통한 추가 개인정보 탈취와 금전 피해 시도가 증가할 수 있어 이용자 주의가 필요하다고 밝혔다. 카드 삭제나 비밀번호 변경 같은 직접적인 계정 방어뿐 아니라, 공격자가 노릴 사회공학 기법 차단도 병행해야 한다는 판단이다.  

 

현재 이용자는 보호나라 카카오톡 채널이 제공하는 스미싱·피싱 확인 서비스를 통해 의심 문자를 신고하고 악성 여부를 판별받을 수 있다. 출처가 불분명한 발신자에게서 온 문자에 기재된 링크 주소는 열어보지 말고 즉시 삭제하는 것이 안전하며, 전화번호나 아이디, 비밀번호 등 개인정보는 신뢰할 수 있는 공식 사이트에서만 입력해야 한다. 특히 문자로 전송되는 인증번호는 모바일 결제에 악용될 수 있어 입력 전 용도를 한 번 더 확인할 필요가 있다.  

 

정부는 또 공공기관이나 금융회사가 전화나 문자로 원격제어 앱 설치를 요구하는 일은 없다고 재차 안내하고 있다. 공식 앱 마켓에 등록된 앱을 사칭한 악성앱도 존재하는 만큼, 설치 요청이 올 경우 발신 주체와 앱 정보를 별도로 확인해야 한다는 점을 강조했다. 만약 악성 앱을 설치한 것으로 의심된다면 모바일 백신으로 해당 앱을 삭제하고, 감염된 스마트폰으로 금융 서비스를 이용했을 경우 공인인증서나 보안카드 등 금융 거래 관련 정보를 폐기한 뒤 재발급받는 편이 안전하다고 조언했다.  

 

IT 보안 업계는 이번 쿠팡 사고가 국내 대형 플랫폼의 계정·권한 관리 체계를 전면 점검하는 계기가 될 것으로 보고 있다. 서명키를 포함한 핵심 인증 자산의 관리 절차, 내부자 퇴사 시 권한 회수와 키 갱신 정책, 침해 탐지와 로그 분석 시스템을 강화하지 않으면 유사한 구조적 사고가 반복될 가능성이 크다는 평가도 나온다. 산업계는 이용자 보호 조치와 투명한 사고 공유가 실제 시장에서 신뢰 회복으로 이어질 수 있을지 예의주시하고 있다.

한지성 기자
share-band
밴드
URL복사
#쿠팡#김승주#개인정보유출