허술한 서명키 관리… 터질 게 터졌다

쿠팡 개인정보 유출 파장 前 중국인 직원, 인증업무 담당 고객 정보 유출 통로로 쓰인 듯 “관리 부실이 부른 인재” 지적
국내 전자상거래(e커머스) 업계 1위인 쿠팡에서 발생한 대규모 개인정보 유출은 ‘로켓배송’ 등 물류혁신과 편리함 뒤에 가려진 허술한 보안 관리 실태를 보여준다. 특히 이번 사태는 중국 국적의 전 쿠팡 직원이 장기간 방치된 유효 인증키를 악용해 3370만명에 달하는 개인정보를 탈취했다는 분석이 나오는 등 부실한 내부 보안 시스템과 정보 관리가 부른 인재(人災)라는 지적이 많다.
1일 서울 송파구 쿠팡 본사 부근 아파트에 쿠팡에서 발송된 택배 봉투가 놓여 있다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 연합뉴스 1일 국회 과학기술정보방송통신위원회 소속 더불어민주당 최민희 의원이 쿠팡으로부터 제출받은 자료에 따르면, 이미 쿠팡을 퇴사한 중국인 직원 A씨는 쿠팡 내에서 인증 업무를 담당했던 것으로 나타났다. 이 직원은 쿠팡 측이 제때 갱신하거나 폐기하지 않은 ‘액세스 토큰 서명키’를 이용해 퇴사 후에 범행을 저질렀다고 한다.

‘토큰’은 접속(로그인)을 위한 일회용 출입증이며, ‘서명키’는 이 출입증이 위조되지 않았음을 확인해주는 ‘인증 도장’ 역할을 한다. A씨가 퇴사 후 범행에 성공한 건 재직 당시 발급받은 서명키가 유효한 상태로 방치됐기 때문이라고 최 의원은 지적했다.

쿠팡 측은 의원실 질의에 “(서명키 유효 인증기간을) 5∼10년으로 설정하는 사례가 많은 걸로 알고 있다”며 “교체 주기가 길며 키 종류에 따라 매우 다양하다”는 취지로 답했다. 최 의원은 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라 인증 체계를 방치한 쿠팡의 조직적?구조적 문제”라고 말했다. 쿠팡 측은 세계일보에 “5~10년간 방치했다는 것은 사실이 아니다”고 했다. 박기웅 세종대 정보보호학과 교수는 “서명키 유효 기간이 1년만 돼도 대단히 길게 잡은 것으로 친다”며 “퇴사자의 경우 (향후 문제가 생기지 않도록) 근무 당시 맡았던 일을 검증하고 (깔끔하게) 정리하는 시스템이 갖춰져야 한다”고 했다.

경찰은 쿠팡 고객 개인정보를 유출한 혐의를 받는 피의자를 추적 중이다. 서울경찰청 관계자는 “현재 쿠팡 측으로부터 서버 로그기록을 제출받아서 분석 중”이라며 “피의자가 범행에 사용한 IP를 확보해 추적 중”이라고 밝혔다. 국회 과학기술정보방송통신위원회는 2일 전체회의를 열어 박대준 대표로부터 이번 개인정보 유출 사고 경위와 대응 현황을 질의한다. 쿠팡은 2021년에도 고객 31만명과 쿠팡이츠 배달 기사 13만5000명의 개인정보가 외부로 빠져나가며 개인정보보호위원회로부터 15억8865만원의 과징금·과태료를 부과받은 바 있다.

이현미·최우석·김승환 기자