쿠팡發 초유의 '인증 취약' 정보 유출…e커머스업계 "이례적"

(서울=뉴스1) 김명신 기자 = 쿠팡의 대규모 개인정보 유출 사고를 둘러싸고 '인증 취약점'이 드러나면서 정보보안 관리와 고객정보 안전조치 의무 위반 등이 최대 쟁점이 될 것으로 예상된다.

2일 업계와 민관합동조사단 등에 따르면 쿠팡 유출 사고 관련 조사 과정에서 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만 개 이상 고객 계정 정보를 유출한 것으로 보고 있다.

쿠팡 사태의 핵심은 해킹에 의한 유출이나 내부 직원 소행 여부에 앞서 고객 개인정보 관리 책임이다. 정부가 밝힌 대로 '서버의 인증 취약점'을 노린 사고라면 사태는 더욱 심각하다는 게 중론이다. 내부 인증(서명키 등) 관리 부실 여부도 쟁점이 될 수 있다.

쿠팡 유출 경로와 관련해 최민희 국회 과학기술정보방송통신위원회 위원장은 인증 관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키 방치(5~10년)를 주요 원인으로 짚었다. 로그인 시스템상 토큰은 생성하고 즉시 폐기해야 하지만 토큰 생성에 필요한 서명 정보를 담당 직원 퇴사 시 삭제, 갱신하지 않았다는 점을 지적했다. 반면 쿠팡은 사실과 다르다는 입장이다.

e커머스업계 취재를 종합해 보면 업체별 데이터 서버 접속과 관련해 액세스 토큰 인증키 방식과 ID 인증 기반 시스템 방식 등으로 관리된다. 인증키 방식이 기간별 고정식이라면, ID 방식은 접근 시 랜덤으로 생성돼 퇴사자의 접근이 원천적으로 차단된다. 토큰 서명키 유효인증기간 또한 최단 월별 갱신으로 관리된다. 서명키 기간 방치로 인한 내부 소행이라면 사태가 더욱 심각하다는 시각이다.

무엇보다 '해외 서버를 통한 무단 접속'이라는 쿠팡 입장과 관련해선 개인정보 파일을 비정상 다운로드나 외부로 전송 시 개인정보탐지시스템(얼럿, 업체마다 경고시스템 명칭 다름)에 의해 즉각 탐지가 이뤄지는 내부 통제 속에서 3370만 명 정보 유출이 단기간에 이뤄질 가능성은 낮을 것으로 보고 있다.

쿠팡의 경우 최근까지 정보보안 관리 투자에 나서며 국민 신뢰 기반 IT 플랫폼으로 성장한 기업이라는 점에서 이번 사태의 심각성이 대두된다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 정보기술부문 투자액만 2조 원(약 1조 9170억 원)에 육박한다. 정보보호부문은 890억 원, 기술 인력만 1만 1302명에 달한다.

쿠팡은 해당 공시를 통해 △개인정보보호 관점에서 잠재적인 위협과 취약점을 식별하고 경영진에 보고하고 있으며 △국가표준에 기반한 정보보호 및 개인정보보호 관리체계(ISMS-P) 요건에 부합하는 정보보호 시스템 도입 운영 △ 인프라 취약점 점검과 침입 방지 및 탐지 강화를 위해 설루션을 적용하고 있다고 밝혔다.

쿠팡의 정보보호 강화에도 개인정보 관련 사고는 네 번째다. 개인정보보호위원회 관계자는 "정부 차원으로 사안을 엄중하게 보고 있다"면서 "누구의 정보가, 얼마만큼, 어떤 정보들이 유출됐는가가 관건이다. 피해 정도, 피해 유형의 성격 등을 짚어볼 예정으로 무엇보다 안전조치의무(개인정보보호법 제29조, 제26조) 여부, 접근권한/통제가 핵심이 될 것"이라고 말했다.

11번가, SSG닷컴, G마켓 등 e커머스 업체들도 쿠팡 사태 이후 고객정보 관리와 보안시스템 재점검에 나서고 있다. 11번가는 "개인정보처리시스템은 망분리 환경에서만 접속 가능하도록 통제하고 있으며 24시간 365일 침해위협 모니터링을 진행하고 있다"면서 "서버/DB 접속 이력에 대해 재점검할 예정"이라고 말했다. SSG닷컴도 "정보보안 관련 정기, 수시 점검과 내부 통제를 지속 강화하고 있다"고 전했다.

한 관계자는 "쿠팡 대규모 정보유출 사고 정황을 보면 대기업에서는 좀처럼 보기 힘든 사례로, 내부 소행이라면 접근권한과 통제 책임이 예상된다"면서 "IT기반 플랫폼으로 성장한 쿠팡이기 때문에 많은 의문점과 안타까움을 남기고 있다. 이례적인 사건으로 기록될 것"이라고 말했다.

lila@news1.kr