'누가ㆍ언제ㆍ어디로' DLP 시스템 미작동⋯정보관리 체계 무너진 쿠팡 [이커머스 보안 쇼크]

▲쿠팡의 대규모 고객 개인정보 유출 사태가 벌어지며 소비자들의 불안이 커지고 있다. 이재명 대통령은 이날 쿠팡에 대해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등 실효적인 대책을 마련을 지시했다. 사진은 2일 서울 시내 한 쿠팡 물류센터 모습. (뉴시스)

쿠팡에서 3000만건이 넘는 대규모 개인정보 유출 사고가 발생하면서 정보보안 체계가 기본적인 운영·관리 단계에서부터 허점이 노출됐다는 지적이 나온다. 전문가들은 “수백억 원대의 보안 투자보다 더 중요한 것은 권한 통제·키 회수·이상징후 탐지 등의 관리 체계”라고 강조한다.

2일 국회 과학기술정보방송통신위원회 긴급 현안 질의에서 브랫 매티스 쿠팡 최고정보보호보안책임자(CISO)는 ‘공격자가 어떻게 데이터베이스에 접근해 정보를 습득했나’라는 이준석 개혁신당 의원의 질의에 “공격자로 생각되는 사람이 훔친 서명 키를 사용해 실제 키에 서명을 해서 다른 사용자차럼 가장한 것”이라며 “공격자가 쿠팡에 접속할 때 쿠팡 내부에 있는 (API를) 사용한 게 아니라 외부의 API를 조작해서 사용했다”고 밝혔다.

관건은 ‘서명 키’가 어떻게 퇴사자에게 넘어갔는지다. 서명 키는 서버 접속에서 사용자를 정상 인식하는 기능을 한다. 김형중 고려대 정보보호대학원 특임교수는 “어떻게 퇴사자가 서명 키를 가지고 있을 수 있는지가 앞으로 풀어야 할 문제”라고 지적했다. 황석진 동국대 국제정보보호대학원 교수도 “퇴사자가 5년짜리 서명 키로 도장을 찍어 ‘일회용 신분증’을 계속 만들었다고 볼 수 있다”며 “동일한 IP에서 여러 개의 신분증이 반복적으로 접근했는데도 인지하지 못한 것은 운영·관리 부실”이라고 지적했다.

쿠팡의 내부자 정보 유출 방지 체계가 제대로 작동하지 않았다는 지적도 나온다. 전문가들은 쿠팡 같은 대형 플랫폼의 경우 정보유출방지(DLP) 시스템을 통해 직원이 고객정보를 외부로 전송할 경우 ‘누가·언제·어디로’ 보냈는지 자동 보고가 되도록 설계하는 것이 일반적이라고 말한다. 김명주 서울여대 지능정보보호학부 교수는 “쿠팡처럼 가입자가 많은 곳은 리포팅을 ‘단일 보고’가 아닌 ‘다중 보고’로 설정한다”며 “DLP 기능이 있었는데도 안 썼다면 직무유기”라고 지적했다.

다만 황석진 교수는 “DLP가 있었다고 해도 ‘작동 안 한 것’이 아니라 정보가 빠져나가는 것을 ‘인식하지 못한 것’일 수 있다”며 “한 번에 대량의 정보가 아닌 소량씩 수백 번 나눠 빼내면 탐지가 쉽지 않다”고 말했다. 그는 “기업이 이상징후를 탐지하는 시스템을 촘촘하게 설정하지 않은 결과”라며 “그물코를 촘촘하게 만들수록 비용과 모니터링 인력 부담이 커지기 때문”이라고 설명했다.

쿠팡은 개인정보 유출 사고 이후 가입자들에게 보낸 문자에서 ‘유출’이 아닌 ‘노출’이라는 표현을 썼다. 이번 사태는 해커 등 외부의 사이버 공격으로 이뤄졌던 여타 개인정보 유출 사고와 달리 내부자의 소행이라는 점에서 차이가 있다. 하지만 일반적인 인식과 달리 내부자에 의한 개인정보 유출 사고는 외부자로 인한 침입보다 빈번하게 발생하는 것으로 알려졌다.

김명주 교수는 “해킹 사고 통계를 보면 내부자가 일으킨 사고가 60%로 외부 해킹보다 더 많다”며 “대부분 회사 안에서 조용히 결손 처리하고 끝내기 때문에 외부 해킹이 더 많이 발생한 것처럼 보일 뿐”이라고 말했다. 1일 민주당 김남근 의원실이 개인정보보호위원회 자료를 분석한 결과에서도 개인정보 유출 사건 사고 10건 중 6건은 쿠팡 사태처럼 내부자에 의한 것으로 나타났다.

한편, 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 올해 정보보호 부문에 890억원을 투자했다. 투자 규모는 2022년 535억원, 2023년 639억원, 지난해 660억원 등으로 지속적으로 늘었다. 하지만 IT 분야 투자 대비 정보보호 투자 비율은 2022년 7.1%에서 2023년 6.9%로 하락한 뒤 5.6%(2024년), 4.6%(2025년)로 꾸준히 줄었다.

전문가들은 투자 규모가 아니라 관리 및 운영 전략이 문제라고 입을 모은다. 황석진 교수는 “보안에 몇백억을 투자한다고 해도 관리에 하자가 많으면 뚫린다는 것이 이번 사태로 드러났다”며 “퇴사자 키 회수 및 권한 즉시 폐기, 비인가 IP 접근 상시 모니터링, 내부자 이상징후 분석 등 기본적인 보안 관리 체계를 강화해야 한다”고 제언했다. 김형중 교수도 “800억원을 서버나 장비 구매에만 투입할 게 아니라 접근 권한을 세분화하고 점검 체계를 정교하게 만드는 데 힘을 써야 한다”고 말했다.