• 쿠팡의 대규모 개인정보 유출 핵심 원인으로 ‘액세스 토큰’과 ‘인증(서명)키’에 대한 관리 부실이 지목

  • 액세스 토큰은 내부 시스템에 접근할 수 있는 출입증이며, 인증키는 이 출입증이 위조가 아니라고 찍어주는 일종의 인증 도장

  • 출입증과 인증 도장이 모두 허술하게 관리되면서 3370만 명의 개인정보가 5개월간 쉽게 털린 것

  • 1일 더불어민주당 소속 최민희 국회 과학기술정보방송통신위원장이 쿠팡에서 제출받은 자료에 따르면 정보 유출자로 추정되는 전 중국인 직원은 인증 관련 업무 담당자였음

  • 최 위원장은 이날 “인증 관련 담당자에게 발급되는 액세스 토큰 인증키가 장기간 방치돼 담당 직원이 퇴사 후에도 이를 악용했다”고 지적

  • 통상적으로 인증 업무 담당자에게는 업무 활용을 위해 액세스 토큰 인증키가 발급됨

  • 토큰은 생성과 폐기가 빨라 1시간 이내로 완료되기도 힘

  • 반면 토큰을 만들 때 필요한 인증키는 유효기간이 상대적으로 긴 편

  • 그런데 이번 사건에서 쿠팡은 중국인 직원의 퇴사 이후에도 인증키를 폐기하지 않았음. 퇴사한 직원이 고객 개인정보에 자유롭게 접근할 수 있었던 이유임

  • 보안업계 관계자는 “사실상 도둑에게 집 열쇠를 넘겨준 셈”이라고 지적

  • 쿠팡 측에서는 인증키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5∼10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했음

  • 전문가들은 이번 사건이 정보 보안의 기본인 ‘접근 통제’가 작동하지 않았기 때문이라고 지적했음. 염흥렬 순천향대 정보보안학과 명예교수는 “보안 인가를 받았던 직원이 퇴사를 한다면 유효기간과 상관없이 즉시 접근 권한을 말소하는 게 당연한 절차”라며 “정해놓은 보안 준칙을 지키지 않아서 발생한 사태”라고 말했음

  • 이날 강훈식 대통령비서실장은 쿠팡 사고에 대해 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출사고를 막는 데 한계가 있다”며 개선 방안 검토를 지시했음

  • 개인정보보호법에 따라 고의 또는 중대한 과실로 개인정보가 침해될 경우 손해액의 5배 이하 범위에서 징벌적 손해배상을 물릴 수 있지만 실효성을 높이겠다는 취지

  • 국회 과방위는 2일 쿠팡 박대준 대표와 최고정보보호책임자(CISO)를 증인으로 불러 긴급 현안질의를 열기로 했음

  • 쿠팡에서 3370만 명의 고객 개인정보를 빼낸 것으로 의심받는 중국 국적의 전 직원은 인증 관련 업무 담당자였던 것으로 드러났음

  • 이 직원은 정보기술(IT) 분야 개발자이며 인증 절차에 이용되는 프로그램을 만드는 작업을 했던 것으로 알려졌음

  • 인터넷 기업의 핵심인 인증 관련 부서에 외국인을 배치한 것도 의아하지만 해당 외국인이 퇴사한 후 관리도 소홀했다는 점이 도마에 오르고 있음


자료 : 동아일보

  • 1일 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 자료를 내고 “쿠팡 고객정보 유출자로 의심받는 중국 국적 전 직원은 인증 관련 업무 담당자”라고 밝혔음

  • 쿠팡을 포함한 IT 업계에서는 최근 외국인 개발자에 대한 수요가 늘고 있음

  • 특히 쿠팡의 경우 미국 시애틀 워싱턴, 중국 베이징 상하이, 인도 벵갈루루, 대만 타이베이 등 해외 곳곳에 개발 기지를 두고 있음

  • 한 이커머스 업계 관계자는 “쿠팡은 개발 역량을 강화하기 위해 해외 인력을 대거 채용하고 있다”며 “핵심 데이터 접근 권한을 가진 외국인이 늘면서 보안 위협도 커졌을 것”이라고 말했음

  • 업계에서는 외국인 인력 채용은 불가피하지만 채용 후 관리가 철저해야 한다고 입을 모음

  • 한 인터넷 기업 관계자는 “인증 관리 부서에는 외국인을 배치하지 않는다”며 “민감한 정보에는 접근 자체를 제한하는 등의 대책이 필요하다”고 지적했음

  • 김정덕 중앙대 산업보안학과 명예교수는 “큰 조직은 수시로 인사 이동이 이뤄진다”며 “인사 시스템과 보안 시스템을 연동해 인사에 따라 시스템 접근 권한이 조절되도록 조치하는 것이 바람직하다”고 말했음

  • 이번 쿠팡 사건에 대해서는 “퇴사한 직원이 내부 중요 정보에 접근할 수 있었다는 것 자체가 문제”라고 지적

  • 정부의 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’의 인증 기준에도 퇴사자의 계정 말소 조항이 있음

  • 쿠팡은 이 지침을 지키지 않고 소홀했던 것

쿠팡, 정보보호 투자는 감소


  • 이런 가운데 쿠팡은 최근 4년간 IT 대비 정보보호 투자 금액을 줄여온 것으로 파악됐음

  • 1일 한국인터넷진흥원(KISA)의 정보보호 투자 공시에 따르면 쿠팡은 올해 정보보호 투자액을 890억 원으로 공시했음

  • 투자 금액으로 보면 2022년 535억 원, 2023년 639억 원, 지난해 660억 원으로 늘었음

  • 하지만 IT 분야 투자 대비 정보보호 투자 비율은 같은 기간 7.1%에서 2023년 6.9%로 하락한 뒤 지난해 5.6%, 올해는 4.6%로 줄었음

  • 이 수치는 773개 정보보호 투자 공시 기업들의 평균인 6.28%보다 낮음

  • 외국인 개발자 증가와 정보보호 투자 감소는 내부에서 업무 과실 등으로 개인정보 유출 사건 사고가 빈번해지는 결과를 낳고 있음

  • 1일 민주당 김남근 의원실이 개인정보보호위원회 자료를 분석한 결과 개인정보 유출 사건 사고 10건 중 6건은 이번 쿠팡 사례처럼 ‘내부자’에 의한 것으로 나타났음

  • 개인정보위 출범(2020년 8월) 이후 올해 9월까지 최근 5년간 개인정보를 유출한 기관은 467곳이었음

  • 이 가운데 380곳은 민간기관

  • 유출 원인을 보면 민간기관 380곳 중 220곳(58%)이 내부에서 사건 사고를 냈고, 공공기관에서도 전체 87곳 중 62곳(71%)이 내부자가 원인이었음

  • 쿠팡이 올 8월 개인정보위로부터 고객정보 관리 부실을 이유로 행정지도를 받은 사실도 드러났음

  • 개인정보위는 7월 쿠팡 등 5개 쇼핑 애플리케이션을 조사했는데, 쿠팡이 계열사와 고객 정보를 주고받는 과정에서 감시 체계가 부족한 점이 지적됐음

  • 한편 최근 5년 동안 유출된 개인정보는 1억 건을 넘었지만 정부가 부과한 제재 수준은 미미했다. 같은 기간 총 1억916만4950건의 개인정보가 유출됐고, 이에 따른 누적 과징금은 3671억1586만 원, 과태료는 39억6880만 원이었음

  • 단순 계산하면 개인정보 1건당 부과된 과징금은 평균 3300원, 과태료는 33원에 불과한 셈임

  • 박춘식 서울여대 정보보호학과 교수는 “한국은 집단소송을 해도 소송에 참여한 사람에게만 보상이 돌아가지만 미국은 승소하면 피해를 본 전체 소비자가 보상을 받는다”며 “이런 징벌적 장치가 있어야 기업들이 보안을 필수 투자로 인식할 것”이라고 말했음

<시사점>

국내 최대 이커머스 기업인 쿠팡에서 발생한 대규모 개인정보 유출 사태가 소비자들의 불안을 증폭시키고 있습니다. 휴대전화번호, 주소, 이메일을 포함한 주요 개인정보가 외부로 빠져나갔다는 사실만으로도 그 파장은 크다고 하겠습니다. 아직 신용카드 번호나 계좌 정보 등 결제 데이터가 유출되지 않은 것으로 확인됐지만, 그렇다고 이 사태를 가볍게 여길수도 없습니다(확인되지 않았다는 것이지, 유출되지 않았다는 것은 아님).

개인정보 유출은 단순한 실수가 아닌 신뢰의 붕괴입니다. 국내 이커머스 시장의 절대 강자로 성장한 쿠팡은 고객의 데이터를 기반으로 정교한 추천·배송 시스템을 구축해왔습니다. 바로 그 핵심 자원이 외부로 흘러나갔다는 점에서 기업의 관리체계 전반에 대한 의문이 제기됩니다. 무엇보다 전직 중국인 직원에 의한 유출로 의심되며, 퇴사후에도 인증키를 폐기하지 않는 등 쿠팡의 관리소홀이 큰 문제가 되고 있습니다. 더욱이 사태의 발견과 공지 과정에서 기업이 보인 불투명한 대응은 ‘고객 보호’라는 기본 원칙에 부합하는지 냉정한 검토가 필요합니다.

정부 역시 이번 사안을 가볍게 넘겨서는 안 됩니다. 개인정보 보호법은 기업에게 상당한 수준의 기술적·관리적 보호조치를 요구하고 있습니다. 만약 쿠팡이 이를 충실히 이행하지 않은 흔적이 드러난다면, 과징금 부과 등 법적 조치를 통해 명확한 경고 메시지를 던질 필요가 있습니다.

2023년 9월 개정된 개인정보보호법에서는 전체 매출액의 3%까지 과징금이 가능하도록 규정이 바뀌었습니다. 2024년의 쿠팡 매출액이 41.2조 원이기 때문에 이론상으는 약 1.2조 원의 과징금이 가능하지만, 지금까지의 부과액은 과거 카카오나 SK텔레콤의 사례에서 보듯 크게 감액된 과징금이 부과되는 것이 보통입니다. 정부는 아마도 이번 쿠팡 사태에서는 보다 유출사태보다 더욱 엄중한 과징금을 메길 것으로 예상됩니다.

국내 빅테크 기업들이 보유한 정보의 규모와 영향력을 고려하면, 규제기관의 관리·감독 강도가 지금보다 더 높아져야 한다는 지적이 타당합니다. 이러한 해킹 사태가 벌어지면 정작 당장의 위험을 감당해야 하는 것은 소비자입니다.

이번 유출 정보는 금융정보가 아니더라도 2차 스미싱, 보이스피싱, 계정 탈취 등 다양한 범죄로 악용될 가능성이 있는 만큼, 개인 소비자들은 다음과 같은 기본 조치를 즉시 취해야 합니다.

첫째, 쿠팡 계정 비밀번호를 즉시 변경해야 합니다. 다른 사이트에서 동일 비밀번호를 사용했다면 함께 바꾸는 것이 안전합니다.

둘째, 문자·전화·이메일로 오는 쿠팡 사칭 링크는 일절 열어서는 안 됩니다.

셋째, 결제정보는 유출되지 않았지만 불안하다면 카드사 앱에서 ‘결제 알림’ 혹은 ‘이상 거래 알림’이 설정되어 있는지 확인하고, 불안하면 카드재발급을 추진하는 것도 한 방법입니다.

쿠팡 역시 이번 사건을 계기로 데이터 관리 수준을 더욱 높이는 계기로 삼아야 하며, 투명한 조사 공개, 재발 방지체계 구축, 고객 보호 지원책을 구체적으로 제시해야 합니다. 개인정보 보호는 기업의 비용이 아니라 신뢰의 기반이며, 그 기반이 무너지면 플랫폼의 미래 또한 없다고 하겠습니다.

<관련 기사>

https://n.news.naver.com/article/newspaper/020/0003678636?date=20251202

정보유출 추정 中직원 퇴사후에도 ‘내부 접근 인증키’ 방치… “쿠팡, 도둑에게 집 열쇠 맡긴 셈”

쿠팡의 대규모 개인정보 유출 핵심 원인으로 ‘액세스 토큰’과 ‘인증(서명)키’에 대한 관리 부실이 지목됐다. 액세스 토큰은 내부 시스템에 접근할 수 있는 출입증이며, 인증키는 이 출입증이 위조가 아니라고 찍어주는 일

n.news.naver.com

https://n.news.naver.com/article/newspaper/020/0003678640?date=20251202