CloudPNG

ºC

logo
IT/바이오

"900만 탈퇴계정도 털렸다"…쿠팡, 보안 구멍 드러나 전자상거래 신뢰 흔들

한유빈 기자
입력

쿠팡에서 발생한 대규모 사이버 침해 사고가 휴면과 탈퇴 회원까지 광범위하게 영향을 미친 것으로 드러나면서 전자상거래 업계 전반의 보안 체계에 대한 우려가 커지고 있다. 전자상거래 플랫폼은 수천만 명의 결제 정보와 주소, 구매 이력 등을 보유한 대표적인 데이터 집적 산업으로, 한 번의 보안 사고가 시장 신뢰에 장기적인 타격을 줄 수 있다. 전문가들은 쿠팡 사례가 단순한 정보 유출을 넘어 기업 내부 보안 거버넌스와 개발·운영 프로세스 전반의 문제를 드러낸 사건으로 보고, 향후 유사 플랫폼에 대한 전방위 점검이 뒤따를 가능성에 주목하고 있다.

 

쿠팡은 최근 해킹 공격으로 약 3370만명 규모의 회원 정보가 유출된 정황을 인정했다. 이 가운데 휴면 계정과 이미 탈퇴한 회원 계정이 약 900만개 포함된 것으로 알려졌다. 특히 비활성 계정에 대한 대량 접속이 장기간 탐지되지 못하면서 보안 시스템이 정상 작동했는지에 대한 의문이 집중되고 있다.

김승주 고려대 정보보호대학원 교수는 14일 유튜브 채널 장르만 여의도에 출연해 이번 사고의 심각성을 짚었다. 김 교수는 유출 규모와 계정 특성에 주목하며 “유출된 약 3370만명의 개인정보 중 휴면 또는 탈퇴 회원이 약 900만명으로 파악된다”고 설명했다. 이어 “정상적인 보안 시스템을 갖춘 회사라면 탈퇴 계정에서 접속이 시도될 경우 즉각 이상 징후를 감지해 알람이 울려야 한다”고 지적했다.

 

일반적으로 대형 온라인 플랫폼은 계정 상태 정보와 인증 로그를 실시간으로 연계해, 탈퇴·휴면 계정에서의 로그인 시도나 비정상 패턴을 탐지하는 침입 탐지 시스템과 통합 관제 체계를 갖춘다. 특히 수백만 건 규모의 비활성 계정 접속 시도는 통계적 이상 징후로 분류돼 즉시 차단이나 추가 인증 절차가 작동하는 것이 통상적이다. 이번 사건에서 900만건 수준의 탈퇴 계정 접근이 문제없이 진행됐다면, 계정 상태 검증 로직이 미구현됐거나 관제·알림 체계가 사실상 작동하지 않은 것이 아니냐는 의문이 제기되는 대목이다.

 

김 교수도 같은 맥락에서 “쿠팡이 900만개의 탈퇴 계정 접속을 감지하지 못했다면 보안 시스템이 제대로 작동하고 있는 회사인지 의문을 가질 수밖에 없다”며 “이걸 조사하면 사고 건수가 더 나올 수 있을 것 같다”고 전망했다. 실제로 대규모 침해 사고에서는 초기 파악된 유출 범위보다 조사 과정에서 추가 피해가 드러나는 경우가 반복돼 왔다. 로그 보관 기간, 내부 감사의 범위와 깊이에 따라 파악 가능한 손상 범위도 달라질 수 있다.

 

이번 사고의 근본 원인으로는 내부 보안 관리 부실과 시스템 설계 상 허점이 지목되고 있다. 김 교수는 “쿠팡의 가장 큰 문제는 마스터키를 개발자가 탈취해서 들고 나갈 수 있도록 방치한 것”이라고 비판했다. 마스터키는 데이터베이스에 저장된 암호화된 개인정보를 복호화하거나, 여러 서비스 간 인증 권한을 총괄적으로 제어하는 핵심 키를 의미한다. 통상적으로는 하드웨어 보안 모듈 등 별도의 보안 장비에 분산 저장하고, 사람 손에 직접 건네지 않도록 설계하는 것이 업계의 기본 원칙으로 통한다.

 

그는 이어 “퇴직자 관리도 안 됐다”고 지적하며, 계정 회수와 권한 박탈 절차의 허술함을 문제 삼았다. 정보보호 관리체계에서는 퇴직이나 직무 변경 시 개발·운영·DB 접속 권한을 즉시 회수하고, 접근 로그를 일정 기간 집중 모니터링하는 절차를 필수로 둔다. 만약 이러한 프로세스 없이 내부 인력이 마스터키에 상시 접근할 수 있었다면, 내부자에 의한 악의적 유출뿐 아니라 계정 탈취를 통한 대규모 침해에도 취약해질 수밖에 없다.

 

사고 이후 대응 과정에서도 여러 문제점이 노출됐다는 평가가 나온다. 김 교수는 “처음에는 정보 유출이란 단어를 쓰지 않고 노출이라고 했다”며 “국회에서 압박이 계속 들어오니까 마지못해서 그걸 유출로 바꿨다”고 설명했다. 정보통신망법과 개인정보보호법 등 관련 법령은 개인정보가 외부로 반출되거나 제3자에 의해 열람된 정황이 있을 경우, 상당한 주의의무를 다했는지와 관계없이 이용자 통지를 요구한다. 유출과 노출을 구분해 표현을 완화하려 했던 초기 커뮤니케이션이 오히려 신뢰를 떨어뜨렸다는 평가가 따른다.

 

고지 방식도 도마에 올랐다. 김 교수는 쿠팡이 정보 유출 공지를 메인 화면이 아닌 광고 배너 위치나 회사 소개란에 올린 점을 문제 삼았다. 보안 사고 발생 시 이용자가 즉시 확인할 수 있도록 첫 화면에 명확히 안내하고, 별도의 전용 공지 페이지와 자주 묻는 질문을 제공하는 것이 글로벌 사업자의 통상적인 절차다. 그는 “이 정도면 기본적인 대응 매뉴얼이 존재하지 않는 회사”라며, 문자 안내에 URL을 포함해 피싱 문자와 혼동될 수 있게 만든 점도 지적했다. 실제로 금융권과 대형 플랫폼에서는 보안 사고 안내 문자에 링크를 삽입하지 않고, 공식 앱이나 웹사이트 직접 접속을 유도하는 것이 일반적 기준으로 자리 잡고 있다.

 

김 교수는 이번 사태를 통해 드러난 쿠팡의 보안 수준을 “글로벌 기업은커녕 국내 평균에도 미치지 못한다”고 평가했다. 대형 유통 플랫폼으로서 방대한 거래 데이터와 결제정보를 다루면서도, 기본적인 암호키 관리와 계정 수명주기 관리, 사고 대응 커뮤니케이션 체계가 구조적으로 미흡했다는 분석이다. 그는 “개인적으로 국내 다른 쇼핑몰보다도 낮다고 본다”고 덧붙였다.

 

전자상거래 업계에서는 이번 사건이 단일 기업의 이슈를 넘어, 대형 유통 플랫폼 전반에 대한 보안 투자와 거버넌스 재점검 계기가 될 수 있다는 관측이 나온다. 마스터키 관리, 내부자 접근 통제, 비활성 계정 보호, 로그 분석 자동화 같은 기술적 조치뿐 아니라, 이사회 차원의 정보보호 책임 구조와 사고 발생 시 투명한 공지 기준을 제도화하는 움직임도 확산될 가능성이 있다. 개인정보보호위원회와 과학기술정보통신부 등 관계 부처가 쿠팡 사례를 기준으로 전자상거래 사업자의 보안 의무를 강화하는 추가 가이드라인을 내놓을지도 주목된다.

 

한편 쿠팡 해킹 사고와 관련한 국회 청문회가 17일 열릴 예정이다. 청문회에서는 유출 경위와 기술적 취약점, 내부 통제 실패 여부, 이용자 통지와 보상 계획 등이 집중적으로 다뤄질 것으로 보인다. 전자상거래 산업의 신뢰 회복을 위해 어느 수준까지 책임을 묻고 제도를 손질할지, 산업계와 규제 당국 모두의 대응 방향에 관심이 쏠리고 있다. 업계는 이번 사건을 계기로 보안 체계가 실제 시장 신뢰로 이어질 수 있을지 예의주시하고 있다.

한유빈 기자
share-band
밴드
URL복사
#쿠팡#김승주#개인정보유출