3370만 명. 대한민국 성인 4명 중 3명의 전화번호와 이름, 주소 등 인적사항이 쿠팡에서 유출됐다. 역대 최대 규모의 개인정보가 무작위 노출됐는데 쿠팡의 신고 및 해명이 뚜렷하지 않아 혼선을 부추기고 있다.
그동안 공개된 정보가 제한적이긴 하지만 “해외 서버를 통해 무단으로 접속한 사태”라는 쿠팡 해명을 토대로 이번 사건의 3가지 의문점을 정리해 봤다.
고도의 해킹인가, 어처구니없는 사고인가
1일 쿠팡에 따르면 이번 정보 유출 사태는 해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근하면서 발생한 것으로 추정하고 있다.
여기서 확인할 점은 해외서버의 정체다. 쿠팡은 국내고객 데이터 관련 서버를 해외에 두지 않는다. 이점을 고려하면 쿠팡이 주장하는 해외 서버는 해외 접속 혹은 해외 IP 접근을 지목한 것으로 해석된다.
쿠팡 역시 접속 주소를 추적해보니 해외로 추정된다는 취지로 설명했다.
중요한 점은 6월 24일부터 발생한 해외 접근이 어떤 식으로 이뤄졌는지다. 쿠팡 내부 관계자에 따르면 무작위 대조나 백도어 설치 등의 공격은 감지되지 않은 것으로 파악된다.
또 고려해야할 부분은 비인가 접근의 의미다. 해킹 공격으로 정보가 뚫렸다면 이를 적시해야만 한다. 그런데 쿠팡은 비인가 접근이라고 표현했다. 고도의 해킹이 이뤄졌고 이를 통해 정보가 유출됐다고 보기 어려운 근거다.
이 모든 사안을 감안했을 때 쿠팡 퇴사 직원이나 불특정 용의자가 국내 데이터 서버 접속 정보를 취득한 후 해외에서 접근했을 가능성이 높다.
만약 해외 IP 차단 등 기초적인 보안조치 없이 용의자가 데이터 관리 서버에 접속해 대규모 계정 정보를 빼돌렸다면 초유의 어처구니없는 사고가 터졌다고 볼 수 있다.
이 정도의 대규모 정보를 혼자 빼돌릴 수 있는지도 따져봐야 할 부분이다. 경찰은 대규모 고객 계정 정보가 유출된 만큼, 단독범 소행이 아니라 조직적으로 움직였을 가능성을 배제하지 않고 있다.
경찰이 추정하는 중국 국적의 전 직원이 유출 사건 관련자라면 그가 배후에 있는 조직 또는 특정 인물과 공모해 범행했을 가능성이 제기된다.
전문가들은 이번 유출 사건과 관련해 해커의 개입이 있지 않겠냐는 관측도 조심스레 내놓는다.
임종인 고려대 정보보호대학원 명예교수는 “전체 데이터베이스(DB)에 접근할 수 있는 권한을 얻고도 바깥으로 정보를 가지고 나가려면 해커의 도움이 필요하다”며 “해커와 공모해 정보를 가지고 나가서 경쟁업체에 판매하려고 시도할 수도 있다”고 말했다.
마지막 의문점은 쿠팡이 정보 유출 사실을 5개월간 정말 몰랐는지다. 쿠팡은 지난달 18일 개인정보 무단 접근 사실을 인지했다고 주장하고 있다.
첫 비인가 접근이 6월 24일 있었다는 점을 고려하면 5달 동안 이 사실을 몰랐다는 의미다.
작년에만 정보보호 부문에 861억원을 투입한 쿠팡이 해외 IP 접속 기록조차 몰랐다면 더 심각한 문제가 될 수 있다.
쿠팡 설명대로라면 이번 사건은 백도어, 무작위 대조 공격을 포함한 고도의 해킹 수법은 동원되지 않았을 가능성이 있다. 정상적인 기업이라면 민감 관리 데이터 서버에 해외 IP가 접근하는 걸 원천으로 차단하거나 실시간으로 추적한다.
추적하지 않더라도 접속기록은 남아있다. 만약 VPN 등 IP 우회로 탐지가 안됐다고 해명한다면 정보보호 투자 자체가 무색해지는 상황이 돼버린다.
비인가 접속 후 고객정보가 대규모로 빠진 흔적도 실시간으로 기록된다. 이 모든 흔적을 5개월간 정말 몰랐다면 사건 은폐 시도보다 더 심각한 사태다.
기초적인 보안, 데이터 관리가 안되고 있었다는 의미기 때문이다.
박대준 쿠팡 대표는 이번 사고와 관련해 “수사가 진행 중이라 상세히 말씀드리기 어렵다”며 “피해 범위와 유출된 내용을 명확하게 확정하는 게 시급하며 이후 재발 방지 대책 수립 등을 성실하게 수행할 수 있을 것”이라는 입장만 내놓은 상태다.
