쿠팡 개인정보 유출, 퇴사자 ‘인증키 탈취’가 원인…정부 "영업정지 검토"

쿠팡 대규모 개인정보 유출 사고는 퇴사자가 재직 중 탈취한 인증키를 악용해 고객을 사칭하면서 발생한 것으로 드러났다. 정부는 쿠팡의 사고 대응과 보안 관리 체계를 문제 삼아 영업정지 가능성까지 검토하기로 했으며, 쿠팡은 내년 상반기 비밀번호 없는 인증 방식인 ‘패스키’ 도입을 추진하겠다고 밝혔다.

브랫 매티스 최고정보보안책임자(CISO)는 17일 국회 과학기술정보방송통신위원회 청문회에서 "권한을 말소했음에도 퇴사자가 무엇을 갖고 있었길래 이런 일이 벌어졌냐"는 질문에 "그 직원은 재직 중에 자신에게 맡겨진 키를 탈취한 것"이라고 답했다. 

그는 "퇴사 시 이 직원에 대한 접근은 전부 차단됐다"며 "이후에 전 직원은 자기가 탈취한 키를 사용해 접근 토큰을 생성했다. 그래서 자신을 고객이라고 사칭하고 개인정보에 접근할 수 있었다"고 설명했다.

이번 청문회는 쿠팡의 대규모 개인정보 유출 사태에 대한 진상 규명을 위해 마련된 자리다. 쿠픙은 초기 조사에서 4천500개 계정의 피해를 확인했으나, 이후 조사 과정에서 총 3천370만 건의 개인정보가 유출된 것으로 공식 발표했다.

또 회사는 이름, 이메일 주소, 배송지 주소록, 일부 주문정보만 유출됐다고 밝혔으나, 이달 초 열린 현안질의에서 공동현관 비밀번호도 유출됐다는 사실을 시인했다. 

쿠팡 "보상안 마련할 것…내년 상반기 패스키 도입도"

이번 사태와 관련해 쿠팡은 보상방안을 들여다보고 있다고 밝혔다. 해롤드 로저스 쿠팡 대표는 "규제 기관 조사에 응하고 있고 (사태를)파악 중"이라며 "조사결과와 함께 보상안을 마련해 발표하겠다"고 말했다. 

보상과 별개로 대안 마련을 촉구하는 목소리도 나왔다. 매티스 CISO는 "한국에서도 내년 상반기까지 패스키를 도입하겠다"고 강조했다. 그는 "대만에서 패스키를 도입한 것은 3개월 남짓"이라며 "한국에서도 도입하기 위해 노력하고 있지만, 한국은 이용자 수가 많아 배포 과정에서 복잡한 준비가 필요하다"고 부연했다.

패스키는 비밀번호 없이 얼굴, 지문 등 생체인식 이나 핀 등을 활용하는 인증 방식으로, 외부 해킹과 탈취 위험이 적다는 장점이 있다. 

또 택배 운송장 등에 실제 주소 대신 가상 주소를 표기하는 '안심주소' 도입 여부에 대해 배경훈 부총리는 "검토해 볼 만한 문제"라고 답변했다. 

이번 사태에 대한 회사 측의 조치를 두고 질타도 이어졌다. 한국 쿠팡 모회사 쿠팡Inc가 개인정보 유출 사건을 미국 증권거래위원회에 공시했냐는 질문에 로저스 대표는 미국 개인정보보호법상 공시 의무는 없다고 설명하면서도, 사안의 중대성과 사회적 관심을 고려해 이날 미국 증권거래위원회(SEC)에 관련 내용을 공시했다고 밝혔다.

배 부총리 "쿠팡 영업정지 논의"

쿠팡에 대한 정부 차원의 조치가 필요하다는 의견도 제기됐다. 배 부총리는 쿠팡 영업정지 논의 상황을 두고 "주무 기관인 공정거래위원회에 전달했다"면서 "논의하겠다. 공정위와 현장조사에 나갈 것"이라고 밝혔다. 

쿠팡이 보안 측면에서 글로벌 규격을 따르지 않았다는 비판과 함께, 사태의 피해 범위가 늘어날 수 있다는 우려도 관측됐다. 

김승주 고려대 정보보호대학원 교수는 "마스터키, 즉 사이닝 키에 접근할 수 있는 구조였다면 개발자가 퇴사하는 즉시 모든 키를 리셋하고 접근 권한을 전면 회수하는 것이 글로벌 규격"이라며 "이런 조치가 제대로 이뤄지지 않을 것으로 보인다"고 추정했다.

그러면서 "문제는 해당 키가 언제부터 탈취됐는지조차 파악되지 않았다는 점"이라며 "현재까지 다른 개발자의 접근 여부도 명확히 밝혀지지 않아 피해 범위는 더 확대될 수 있다"고 우려했다. 

관련기사

중국 이커머스에서 구매한 쿠팡 계정으로 로그인을 시도하자 성공한 영상에 대해서는 "피해 범위가 더 늘어나면 지금 보여 준 화면 속 상황도 가능하다"고 언급했다. 

현재 과기정통부는 한국인터넷진흥원(KISA) 등과 민관합동조사단을 꾸려 쿠팡의 보안 취약점과 인증키 탈취 경위 등을 조사하고 있다.