쿠팡, 결제정보 안 뚫렸나…'5개월' 탐지 실패에 커지는 의문

쿠팡의 개인정보 유출 사고 규모가 당초 발표보다 7500배 커지면서 정부가 결제정보 유출 가능성까지 파악하고 나선 것으로 전해졌다. 회사 측이 "결제정보는 안전하다"고 강조하고 있지만, 사건이 드러나는 과정에서 여러 의문이 제기되자 정부가 쿠팡 설명과 별개로 조사 중이라는 입장을 밝힌 것이다. 특히 침해 시도가 지난 6월 말부터 이어졌다는 정황에도 불구하고 쿠팡이 이를 11월이 돼서야 인지했다고 털어놓으면서 발표내용의 신빙성이 의심된다는 평가가 나온다.

개인정보보호위원회 관계자는 1일 "쿠팡은 결제정보와 개인정보가 다른 시스템에 저장돼 있다는 입장"이라면서 "하지만 조사 중이라 이를 단정적으로 받아들이기는 어렵다"고 말했다.

쿠팡은 앞서 이번 침해로 노출된 정보가 이름·전화번호·주소·이메일·일부 주문내역에 국한된다며 결제 정보와 신용카드 번호, 로그인 정보 등은 "다른 시스템에서 분리 관리돼 있어 안전하다"는 입장을 반복하고 있다. 결제정보 등은 일반 개인정보보다 더 민감하기 때문에 보안 전문가들도 쿠팡의 설명 자체는 기술적으로 가능하다고 본다. 하지만 이는 구조적으로 가능한 설명일 뿐, 그 구조와 권한 관리가 실제로 작동했는지는 별도 검증이 필요하다는 게 전문가들의 견해다.

추가적인 정보 유출 가능성뿐 아니라 이번 사고의 핵심 원인을 둘러싼 의문 역시 조사 과정에서 밝혀져야 할 부분이다. 쿠팡 내부 인증체계가 장기간 방치돼 왔다는 정황이 추가로 드러난 것도 이런 의문을 키우는 대목이다. 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원이 지난달 30일 쿠팡으로부터 받은 자료에 따르면 이번 유출에는 인증관련 담당자에게 발급되는 서명키(토큰 서명키)가 장기간 갱신되지 않은 채 남아 있었던 사실이 확인됐다. 토큰은 일종의 일회용 출입증이라면 서명키는 그 출입증을 발급하는 도장에 해당한다. 출입증이 폐기되더라도 도장 자체가 남아 있고 유효하다면 누구든 원하면 계속해서 새 출입증을 만들어낼 수 있는 구조다.

쿠팡은 토큰 생성에 사용되는 서명키를 담당직원이 퇴사할 때 삭제하거나 갱신하지 않았고, 이 장기 유효 서명키가 내부 직원(또는 퇴사자)의 악용에 노출됐다. 쿠팡은 경찰 수사를 이유로 이번 해킹에 악용된 인증키 유효기간을 명확히 밝히지 않았지만, 토큰 서명키 유효인증기간에 대해 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"고 답했다.

더 근본적인 의문은 '인증키 관리 실패를 5개월 동안 몰랐냐'라는 점이다. 지난 6월 말부터 이상 접근이 이어졌는데도 쿠팡이 이제서야 침해 사실을 인지했다면 권한 관리, 로그 분석, 이상행위 탐지 등 플랫폼 보안의 기초 체계가 전반적으로 작동하지 않았다는 뜻이 된다. 내부자 권한을 활용했든, 퇴사자의 인증정보를 외부에서 재사용했든, 어떤 형태의 비인가 접근이든 5개월간 전혀 탐지되지 않았다는 점은 기술적으로 납득하기 어려운 수준이라는 지적이 나온다. 탐지 지연이 단순 기술적 실패인지, 혹은 탐지 후 일정 기간 내부적으로만 인지하고 있었던 것인지조차 지금은 명확하지 않다. 염흥열 순천향대 정보보호학과 교수는 "내부자가 교묘하게 접근하면 탐지가 어려울 수는 있지만 5개월 동안 아무 신호도 못 잡았다는 건 사실상 보안 시스템이 제대로 작동하지 않았다는 의미"라고 설명했다.

향후 조사에서 결제정보나 카드정보까지 유출된 사실이 드러날 경우, 사고 파장은 지금보다 커질 수밖에 없다. 부정 결제 등 금전 피해가 현실화될 가능성이 생기고 관련 기관의 제재나 배상 책임도 늘어날 수 있기 때문이다.