<앵커>
3천만 명이 넘는 개인정보가 빠져나간 쿠팡 정보 유출 사건, 특히 허술했던 내부 관리 시스템이 드러나면서 공분을 사고 있죠. 현재까지는 중국 국적의 전 직원이 정보를 빼낸 것으로 추정되는데, 왜 적절한 통제 장치가 작동하지 않았는지가 핵심 쟁점으로 떠오르고 있습니다.
<기자>
쿠팡의 정보 유출은 5개월 전인 지난 6월 24일부터 시작됐습니다.
공격자는 이때부터 147일간 고객정보를 모으기 시작했죠.
쿠팡은 정보가 빠져나간 지 5개월이 지난 11월 18일에서야 개인정보 유출 사실을 처음 인지했는데요.
이조차도 자체 발견이 아닌 일부 고객이 당신의 개인정보를 알고 있다는 협박성 이메일을 받았다며 항의해서 인지했다고 합니다.
쿠팡 측은 지난달 20일 4천500개 계정이 유출됐다고 공지했지만, 29일 약 7천500배 조정된 3천370만 개의 계정이 유출됐다고 재공지했죠.
쿠팡 측은 이번 사고의 원인을 해외 서버를 통한 비인가 조회라고 밝혔는데요.
쉽게 말해 접근 권한이 없는 사람이 해외 IP를 통해 쿠팡 내부 시스템에 몰래 들어왔다는 것입니다.
중국 국적의 전 직원이 범행을 저질렀을 가능성이 제기된 상태인데요.
많은 전문가는 토큰 서명키가 장기간 갱신되지 않은 점을 지적하고 있습니다.
[김기형/아주대학교 사이버보안학과 교수 : 놀이공원 가면 이 손목에 뭐 하나 차면 자유롭게 들어갈 수 있잖아요. 입장권도 도장이 찍혀 있지 않으면 가짜 입장권으로 딱 걸리잖아요. 쿠팡 도장이 찍혀 있는 거예요. 그래서 이것만 있으면 더 이상 아이디를 물어보지 않아요.]
한마디로 이 서명키를 가지고 있으면 토큰이 허용하는 모든 데이터에 접근할 수 있습니다.
그래서 서명키를 주기적으로 갱신하지 않으면 한번 서명키를 가진 누군가가 계속해서 데이터에 접근할 수 있습니다.
이를 방지하기 위한 서명키 갱신은 가장 기본적인 보안절차로 꼽히죠.
[김기형/아주대학교 사이버보안학과 교수 : 너무 편리하고 잘 만든 건데 위험한 게 단점이죠. 그래서 유일하게 막을 수 있는 방법이 시간을 짧게 만드는 거예요. 재발급받게 하는 거예요. 재발급할 때는 또다시 신원체크를 하잖아요. 근데 그걸 5~10년을 뒀다 이건 무지막지하게 긴 거고 그렇게 길게 하는 건 일반적인 경우는 제가 못 봤고요.]
올해 개인정보 유출 사고가 많았지만 유독 쿠팡이 질타받는 이유는 SKT, KT 등 통신사나 롯데카드 등의 경우 외부 해킹이 직접적인 원인이었지만, 쿠팡의 경우 기업 내부의 관리, 감독 부실이 원인이었기 때문입니다.
쿠팡 측은 사후 대처 과정도 안일했습니다.
이번 사태를 유출이 아닌 노출이라고 표현해 고객들의 분노를 더 키운 것인데요.
일부러 노출이라는 표현을 써 사건의 심각성을 축소시키려는 것 아니냐는 지적이 쏟아지자 쿠팡의 박대준 대표는 부랴부랴 해명에 나서기도 했습니다.
[곽진/아주대학교 사이버보안학과 교수 : 단순히 개인정보라든지 개인정보의 일부만 유출됐다라는 사고로 인식하면 안 될 것 같고요.]
[김기형/아주대학교 사이버보안학과 교수 : 나의 정보를 일부 얘기하면서 고객님이 뭐 뭐 뭐 주문했든 무슨 상품이 얘기하면서 어느 주소 앞마당에 지금 배달이 되었는데 이러면서 얘기 나오면 굉장히 진짜 같잖아요. 나도 모르게 클릭할 수 있어요.]
정부는 민관합동조사관을 가동해 쿠팡의 개인정보 보호 위반 여부를 집중 조사하고 3차 피해를 막기 위해 앞으로 3개월간 모니터링을 강화한다고 발표했는데요.
고객이 할 수 있는 조치라고는 각종 피싱 공격을 조심하는 것밖에는 없는 상황.
많은 사람이 사용하는 국내 1위 유통 플랫폼 쿠팡은 떨어진 신뢰를 회복할 수 있을까요?
동영상 기사
동영상 기사
동영상 기사
동영상 기사
동영상 기사