몰랐나 숨겼나…구멍 뚫린 쿠팡, 고객정보 유출 미스터리

3300만건이 넘는 쿠팡의 고객 정보가 유출된 가운데 관련 업계에서는 정보기술을 강조해온 국내 최대 e커머스 플랫폼이 5개월 가까이 민감 정보가 빠져나간 사실을 인지하지 못했다는 점이 이례적이라는 반응이 나온다. 이번 사고가 해킹이 아닌 퇴사한 전 직원의 소행으로 알려지면서 쿠팡의 허술한 관리 체계에 대한 비판과 함께 책임 추궁이 이어질 전망이다. 동종 업계에서도 이번 사태를 계기로 내부 보안 체계를 재점검하는 등 후속 대응에 나섰다.

1일 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원실이 쿠팡으로부터 받은 자료에 따르면, 이번 사고는 퇴사한 인증 관련 담당자가 쿠팡의 고객 정보를 빼돌린 데서 비롯된 것으로 파악된다. 개인정보 유출자는 중국 국적의 전 쿠팡 직원으로, 현재 회사를 떠나 해외 체류 중인 것으로 알려졌다.

최 의원실 등에 따르면 이 직원은 인증 토큰 서버인증키와 보안 취약점을 악용한 것으로 추정된다. 인증 토큰은 로그인할 때 발행되는 일회용 출입증에 해당한다. 이를 생성하기 위해서는 도장 역할을 하는 '서명키'가 필요하다. 쿠팡 측은 이번 해킹에 악용된 인증키 유효기간에 대해 경찰 수사를 이유로 명확하게 밝히지 않고 있다.

다만 토큰 서명키 유효인증기간에 대해서는 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"며 "로테이션 기간이 길고 키 종류에 따라 매우 다양하다"는 답변을 최 의원실에 보냈다. 결국 쿠팡 로그인 시스템상 토큰은 생성하고 즉시 폐기되지만, 서명키를 삭제하거나 갱신하지 않고 오래 방치했기 때문에 해당 직원이 이를 악용해 고객 정보 데이터베이스(DB) 접속할 수 있었다고 최 의원실은 설명했다.

이 같은 정황을 종합하면 이번 사고는 내부 보안시스템과 인적 관리를 소홀히 한 인재(人災) 가능성에 무게가 실린다. 이를 고려하더라도 석연치 않은 구석이 있다. 쿠팡 고객 정보에 무단 접근을 시도한 흔적이 발견된 시점이 지난 6월24일이고, 해당 직원이 개인 정보 빼돌린 뒤 최근 쿠팡과 회원들에게 협박성 이메일을 보내면서 약 5개월이 지나서야 개인정보 노출 사실을 파악했다는 점이 대표적이다. 그간 쿠팡이 테크 기업이라는 점을 부각했던 전례를 비춰봤을 때 보안 체계가 지나치게 허술하다는 지적이 나오는 배경이다.

e커머스 업계 한 관계자는 "고객 데이터는 회사의 가장 중요한 자료 중 하나로 이 같은 정보를 업로드 혹은 다운로드만 하려고 해도 반드시 책임자의 승인이 필요하다"며 "3000만건이 넘는 고객 정보가 외부로 빠져나갈 때까지 시스템상 아무런 이상 징후가 감지되지 않고, 보안 관련 담당자가 이를 모르고 있었다는 것은 납득하기 어렵다"고 지적했다.

또 다른 관계자도 "개인정보 유출 의혹을 받고 있는 해당 직원이 정보보호 인증 등의 권한을 가진 고위 직급이라면 이상 신호가 나타나더라도 이를 은폐하는 것이 기술적으로 가능할 수는 있다"면서도 "회사를 퇴사한 뒤 이 같은 일이 벌어지도록 방치했다는 것은 이해되지 않는다"고 덧붙였다. 다만 쿠팡 측은 해당 직원의 국적이나 개인정보 유출 경위 등에 대해 "수사 중인 사안이라 구체적인 내용은 확인해줄 수 없다"며 관련 정보를 일절 함구하고 있다.

쿠팡의 미온적인 대처에 소비자들의 불안감도 커지고 있다. 당장 쿠팡 측에서 "무단 접근된 고객정보는 이름과 이메일, 전화번호, 배송지 주소, 특정 주문 정보로 제한됐고 결제 정보와 신용카드 정보, 고객 로그인 정보는 포함되지 않았다"고 강조했지만 수사 과정에서 유출 범위가 확대될 가능성도 배제할 수 없어서다.

이미 쿠팡이 지난달 18일 발표에서 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 후속 조사에서 정보가 노출된 계정이 이보다 7500배 수준으로 확대됐다. 또 앞서 사이버 침해 사고가 발생한 롯데카드의 사례에서도 지난 9월 초기 사과문에서는 "현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다"고 공지했으나, 그로부터 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출된 것으로 드러났다.

소비자들 사이에서는 쿠팡을 통해 공동 현관 비밀번호와 해외 직구 때 이용하는 개인 통관 번호까지 모두 새어나간 게 아니냐는 우려가 나오고 있다. 한국소비자단체협의회는 이날 성명을 내고 "소비자의 가장 내밀한 정보인 주소, 연락처, 구매 내역, 심지어 공동현관 비밀번호까지 포함된 개인정보가 노출됐다는 사실에 깊은 우려와 강한 분노를 표한다"며 "소비자 개인정보 유출 사고의 원인과 규모를 투명하게 공개하고 실질적이고 구체적인 배상안을 즉각 마련하라"고 촉구했다.

이어 "이번 사태로 발생할 수 있는 소상공인 매출 감소 등의 피해에 대한 보상과 예방책도 강구해야 할 것"이라며 "쿠팡이 이를 받아들이지 않고 각종 로비나 법적 대응 운운하며 시간을 끌면 우리는 소비자와 연대해 회원 탈퇴와 불매 운동을 포함한 수단·방법을 총동원해 강력히 대응할 것"이라고 경고했다. 더불어 정부에는 "철저한 조사와 강력한 행정 처분을 내리고 재발 방지 대책을 신속히 수립하라"고 요구했다.

e커머스 업계도 쿠팡의 대규모 고객 정보 유출 사태를 계기로 내부 보안 시스템에 문제는 없는지 다시 들여다보고 있다. SSG닷컴은 정보 보안 관련 정기·수시 점검과 내부 통제를 지속 강화하고 있고, G마켓은 지난 주말 자체 긴급 보안점검을 실시한 데 이어 이날 후속 점검 방안에 대해서도 논의하고 있다. 11번가는 "보안관제전문서비스를 통해 24시간 365일 침해위협을 모니터링하고 있다"며 "(이번 이슈와 관련해) 서버·DB 접속 이력에 대해 재점검할 예정"이라고 전했다.

이 밖에 네이버는 "자체 개발한 정보보호 시스템 등 정보보호 및 보안 솔루션을 적용하면서 사용자의 정보와 데이터 안전성을 최우선으로 상시 시스템 운영과 모니터링을 진행하고 있다"고 설명했다. 컬리도 "정기 보안 점검과 별도로 유사 유형의 사고 발생 가능성을 줄이기 위한 선제적 점검과 내부통제를 진행 중"이라고 전했다.