쿠팡의 대규모 개인정보 유출은 회사의 허술한 보안 체계에 개인의 치밀한 범행 계획이 더해진 결과였다. 범인인 중국인 전 직원은 재직 중 쿠팡의 취약한 보안 체계를 간파했다. 퇴직 후 사전 테스트까지 벌이며 공격을 감행했다. 정부는 조사 후 서명키 관리 시스템을 비롯해 전반적인 보안 체계 강화를 쿠팡에 주문했지만 ‘사후약방문’ 격이라는 지적이 나온다.

10일 과학기술정보통신부 민관합동조사단에 따르면 쿠팡 재직 중 이용자 인증 시스템 설계 및 개발 업무를 맡았던 범인은 쿠팡의 이용자 인증 체계 취약점을 인지하고 이용자 계정에 무단 접속할 수 있도록 이용자 인증 시스템의 서명키를 탈취했다. 퇴직 후에는 서명키와 내부 정보를 활용해 전자 출입증 역할을 하는 인증 토큰을 위조했다. 이를 통해 정상적인 로그인 절차 없이 쿠팡 인증 체계를 통과했다. 사전 공격 테스트를 해보기도 했다.

대규모 정보 유출은 자동 데이터 수집 방식을 일컫는 크롤링을 통해 이뤄졌다. 이 과정에서 동원된 IP 수는 총 2313개에 달했다. 빼간 정보가 해외로 넘어갔을 가능성에 대해서는 명확히 확인되지 않았다. 해외 클라우드 서버로 전송할 수 있도록 범인이 시스템 설정을 한 사실이 확인됐지만 실제 전송이 이뤄졌는지는 기록으로 남지 않았기 때문이다.

범행이 대담하게 이뤄질 수 있었던 배경에는 국내 최대 e커머스 플랫폼 쿠팡의 허술한 보안 체계와 안일한 보안 인식이 있었다. 민관합조단에 따르면 무엇보다 개인정보 유출을 사전에 잡아낼 수 있는 시스템이 부재했다. 쿠팡은 모의 해킹으로 토큰 기반 인증 체계의 취약점을 찾고도 정작 해결책을 모색하지 않았다. 이 때문에 범인의 무단 접속이 정상적이었는지 확인하는 절차도 없었다.

쿠팡의 서명키 관리 체계 또한 허술했다. 쿠팡에서는 직원 퇴사 이후 서명키가 더 이상 사용되지 않도록 조치를 취해야 했지만 이뤄지지 않았다. 게다가 키 관리 시스템에 개발자와 운영자 모두 접근이 가능했다. 쿠팡은 자체 규정에 따라 서명키를 키 관리 시스템에만 보관하고 개발자 PC에 저장하지 않아야 한다고 명시했지만 실제로는 지켜지지 않았던 것이다.

이동근 민관합동조사단 부단장은 “(공격자가) 이미 퇴사해서 조사할 수 없는 만큼 현 직원들이 어떻게 업무하는지 조사했다”며 “재직자의 노트북을 포렌식했더니 키를 저장하고 있는 것을 확인했고 퇴사한 공격자도 키를 저장할 수 있었다는 사실을 파악했다”고 설명했다. 유출 사고가 벌어진 후에도 여전히 키 유출이나 오남용 위험이 있었다는 얘기다.

이에 정부는 정상 발급 절차를 거치지 않은 인증 토큰을 차단할 수 있는 체계를 도입하고 모의 해킹에서 발견된 취약점을 근본적으로 개선할 수 있는 방안을 마련하라고 지시했다.

전문가들은 쿠팡 침해 사고로 전 국민이 영향을 받을 수 있는 만큼 보다 철저한 조사가 이뤄져야 한다고 입을 모았다. 임종인 고려대 명예교수는 “범인이 현재 중국에 있는 것으로 파악되는 상황에서 정부가 피해 규모만 발표하고 끝낸 측면이 있다”면서 “앞서 쿠팡이 자체 조사 결과도 발표한 적이 있는 만큼 명확한 진상을 파악하기 위해 한미 양국이 공조수사를 진행할 필요성이 있다”고 진단했다.

한편 명확한 개인정보 유출 규모는 개인정보보호위원회가 추후 확정, 공개할 방침이다.

<김기혁 기자>