뉴스
[한겨레] 퇴사자 '정보접근 열쇠' 미회수…보안의 기본 안 지킨 쿠팡
admin
2025년 12월 15일 10:27
5
(☞한겨레 뉴스레터 H:730 구독하기. 검색창에 '한겨레 h730'을 쳐보세요.)
쿠팡 고객 3370만명의 개인정보가 유출된 사태의 핵심은 허술한 보안 관리 체계와 내부 관리 실패로 요약된다. 쿠팡은 그동안 자사를 아이티(IT)·플랫폼 기업이라고 지칭하며 890억원에 이르는 정보보호 예산을 투자한다고 강조해왔지만, 전문가들은 정작 가장 기본적인 보안 절차가 작동하지 않았다고 지적한다.
국내 성인 인구 4분의 3의 개인정보가 유출된 초유의 사태가 일어난 직접적 원인은, 쿠팡 안에서 인증 업무를 담당하던 직원이 퇴사한 뒤에도 내부 시스템에 접근할 수 있는 암호화 수단을 여전히 갖고 있었기 때문이다. 최민희 국회 과학기술정보방송통신위원회 위원장(더불어민주당)이 1일 쿠팡에서 제출받은 자료를 보면, 이번 사건은 "인증 관련 담당자에게 발급되는 서명된 액세스 토큰(데이터 접근 열쇠)의 유효 인증키가 장기간 방치되어 담당 직원이 퇴사 후에도 이를 악용했기 때문에 벌어진 일"로 지목된다.
액세스 토큰은 인증을 마친 사용자가 내부 시스템과 특정 데이터에 접근할 수 있는 권한을 부여받았다는 걸 나타내는데, 보안을 위해 유효 기간이 설정된다. 의원실 설명을 종합하면, 쿠팡은 로그인 시스템상 이 토큰을 생성한 뒤 즉시 폐기한다. 하지만 정작 담당 직원이 퇴사했는데도 퇴사자의 계정이 비활성화되지 않았거나, 이 토큰을 생성하는 서명 정보를 갱신·삭제하지 않는 등 방치해 3370만명의 개인정보가 유출됐다는 것이다. 최 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"고 지적했다.
쿠팡의 미흡한 보안 체계는 이뿐만이 아니다. 쿠팡은 지난 6월 말부터 시작된 개인정보 유출을 5개월 동안 알아채지 못하다가 고객 제보로 뒤늦게 파악했다. 쿠팡이 개인정보 유출을 인지한 시점은 11월16일 쿠팡 일부 고객들이 개인정보 유출을 암시하는 협박성 전자우편(이메일)을 받으면서다. 쿠팡은 고객 문의를 계기로 뒤늦게 관련 조사를 벌였으나, 당시 파악한 개인정보 유출 규모는 최근 파악된 3370만명의 0.013%인 4500여명에 불과했다.
전문가들은 정보 보안 체계가 기본부터 작동하지 않은 사례라고 지적했다. 곽진 아주대 교수(사이버보안학과)는 "정보 보안 거버넌스가 잘 갖춰진 기업은 정기적으로 시스템 로그 기록(사용 기록)을 검사해 침해 시도, 해킹 등 유출 흔적을 발견한다. 쿠팡은 이 부분에 있어 미흡했던 것으로 보인다"고 했다. 실제 개인정보 유출자는 '로 앤드 슬로'(low and slow) 방식으로 천천히 조금씩 데이터를 긁어모아 쿠팡의 감시망을 무력화했을 가능성이 제기된다.
무엇보다 개인정보 유출자가 인증 관련 업무를 했던 직원으로 파악된 만큼, 쿠팡의 정보 보안 체계의 취약점을 알고 있었을 가능성도 제기된다. 곽진 교수는 "해당 직원이 인증 업무를 담당했다면, 내부 프로세스나 절차를 좀 더 많이 알고 그 정보를 이용해 접근을 시도했을 수 있다. 내부 통제가 제대로 이뤄지지 않는다는 점을 이용했을 가능성이 있다"고 짚었다. 김환국 국민대 교수(정보보안암호수학과)도 "기업들이 퇴사자의 계정이나 권한을 모두 말소시키는 게 일반적"이라고 말했다.
쿠팡의 이번 개인정보 유출 사태를 단순히 장비 투자 등 비용 문제로만 접근할 것이 아니라는 지적도 나온다. 쿠팡은 올해에만 정보기술 부문에 약 1조9171억원, 이 가운데 정보보호 부문에 약 890억원을 투입했지만, 대규모 개인정보 유출 사태를 막지 못했다. 곽 교수는 "보안 장비를 많이 사고, 솔루션을 도입하고 인력을 늘리는 것만으로는 조직의 보안 수준이 올라가지 않는다"며 "정작 그 장비와 인력이 어떤 역할을 수행하고, 이를 어떻게 운영·점검해야 하는지에 대한 조직적 관리 체계가 있어야 한다"고 말했다.
---
📰 출처: 한겨레
🔗 원문 보기: https://www.hani.co.kr/arti/economy/economy_general/1232291.html
쿠팡 고객 3370만명의 개인정보가 유출된 사태의 핵심은 허술한 보안 관리 체계와 내부 관리 실패로 요약된다. 쿠팡은 그동안 자사를 아이티(IT)·플랫폼 기업이라고 지칭하며 890억원에 이르는 정보보호 예산을 투자한다고 강조해왔지만, 전문가들은 정작 가장 기본적인 보안 절차가 작동하지 않았다고 지적한다.
국내 성인 인구 4분의 3의 개인정보가 유출된 초유의 사태가 일어난 직접적 원인은, 쿠팡 안에서 인증 업무를 담당하던 직원이 퇴사한 뒤에도 내부 시스템에 접근할 수 있는 암호화 수단을 여전히 갖고 있었기 때문이다. 최민희 국회 과학기술정보방송통신위원회 위원장(더불어민주당)이 1일 쿠팡에서 제출받은 자료를 보면, 이번 사건은 "인증 관련 담당자에게 발급되는 서명된 액세스 토큰(데이터 접근 열쇠)의 유효 인증키가 장기간 방치되어 담당 직원이 퇴사 후에도 이를 악용했기 때문에 벌어진 일"로 지목된다.
액세스 토큰은 인증을 마친 사용자가 내부 시스템과 특정 데이터에 접근할 수 있는 권한을 부여받았다는 걸 나타내는데, 보안을 위해 유효 기간이 설정된다. 의원실 설명을 종합하면, 쿠팡은 로그인 시스템상 이 토큰을 생성한 뒤 즉시 폐기한다. 하지만 정작 담당 직원이 퇴사했는데도 퇴사자의 계정이 비활성화되지 않았거나, 이 토큰을 생성하는 서명 정보를 갱신·삭제하지 않는 등 방치해 3370만명의 개인정보가 유출됐다는 것이다. 최 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"고 지적했다.
쿠팡의 미흡한 보안 체계는 이뿐만이 아니다. 쿠팡은 지난 6월 말부터 시작된 개인정보 유출을 5개월 동안 알아채지 못하다가 고객 제보로 뒤늦게 파악했다. 쿠팡이 개인정보 유출을 인지한 시점은 11월16일 쿠팡 일부 고객들이 개인정보 유출을 암시하는 협박성 전자우편(이메일)을 받으면서다. 쿠팡은 고객 문의를 계기로 뒤늦게 관련 조사를 벌였으나, 당시 파악한 개인정보 유출 규모는 최근 파악된 3370만명의 0.013%인 4500여명에 불과했다.
전문가들은 정보 보안 체계가 기본부터 작동하지 않은 사례라고 지적했다. 곽진 아주대 교수(사이버보안학과)는 "정보 보안 거버넌스가 잘 갖춰진 기업은 정기적으로 시스템 로그 기록(사용 기록)을 검사해 침해 시도, 해킹 등 유출 흔적을 발견한다. 쿠팡은 이 부분에 있어 미흡했던 것으로 보인다"고 했다. 실제 개인정보 유출자는 '로 앤드 슬로'(low and slow) 방식으로 천천히 조금씩 데이터를 긁어모아 쿠팡의 감시망을 무력화했을 가능성이 제기된다.
무엇보다 개인정보 유출자가 인증 관련 업무를 했던 직원으로 파악된 만큼, 쿠팡의 정보 보안 체계의 취약점을 알고 있었을 가능성도 제기된다. 곽진 교수는 "해당 직원이 인증 업무를 담당했다면, 내부 프로세스나 절차를 좀 더 많이 알고 그 정보를 이용해 접근을 시도했을 수 있다. 내부 통제가 제대로 이뤄지지 않는다는 점을 이용했을 가능성이 있다"고 짚었다. 김환국 국민대 교수(정보보안암호수학과)도 "기업들이 퇴사자의 계정이나 권한을 모두 말소시키는 게 일반적"이라고 말했다.
쿠팡의 이번 개인정보 유출 사태를 단순히 장비 투자 등 비용 문제로만 접근할 것이 아니라는 지적도 나온다. 쿠팡은 올해에만 정보기술 부문에 약 1조9171억원, 이 가운데 정보보호 부문에 약 890억원을 투입했지만, 대규모 개인정보 유출 사태를 막지 못했다. 곽 교수는 "보안 장비를 많이 사고, 솔루션을 도입하고 인력을 늘리는 것만으로는 조직의 보안 수준이 올라가지 않는다"며 "정작 그 장비와 인력이 어떤 역할을 수행하고, 이를 어떻게 운영·점검해야 하는지에 대한 조직적 관리 체계가 있어야 한다"고 말했다.
---
📰 출처: 한겨레
🔗 원문 보기: https://www.hani.co.kr/arti/economy/economy_general/1232291.html