쿠팡 3,370만 개인정보 유출, 5가지 충격적 진실

법무법인 지향

 

우리가 쿠팡에서 ‘구매하기’ 버튼을 누를 때 우리는 단순한 상품 배송에 대한 신뢰만이 아니라, 이커머스의 기본 신뢰를 바탕으로 하고 있습니다. 최근 그 신뢰가 3,370만 명 정보유출과 함께 무너져 내렸습니다. 그런데 그 원인은 고도화된 해킹도 아닌, 국내 최고 이커머스 기업의 충격적인 수준의 방치 때문이었다는 것이 드러나고 있습니다. 가장 기본적인 원칙이 무너진다면 그 결과는 참혹합니다.

1. 범인은 외부 해커가 아니었다: 전(前) 내부 직원의 소행

대규모 정보 유출이라 하면 흔히 고도의 기술을 가진 외부 해커 조직을 떠올립니다. 그러나 이번 사태의 본질은 전혀 다릅니다. 범인은 외부의 공격자가 아닌 이미 퇴사한 내부 직원이었습니다.

게다가 기업 보안의 가장 기초인 인사 및 계정 관리 시스템이 완전히 붕괴되었다는 것을 보여주고 있습니다. 개인정보보호법은 기업에게 직원이 퇴사하면 접근 권한을 ‘지체 없이’ 말소하도록 명시하고 있는데, 쿠팡은 이 가장 기본적인 안전조치 의무를 정면으로 위반했고, 이는 결국 3,370만 명의 정보가 담긴 판도라의 상자를 여는 직접적인 원인이 되었습니다.

2. 어떻게 한 직원이 슈퍼 권한을 행사할 수 있었는가

개인정보를 안전하게 지키려면 권한을 차등부여하고, 업무에 필요한 최소한으로 제한하는 것이 기본 중의 기본 원칙입니다. 그런데, 쿠팡의 전 직원은 3,370만명의 고객 개인정보 파일에 접근하고, 이를 다운로드받는 권한을 행사했습니다. 어떻게 그것이 가능했을까? 바로 쿠팡의 총체적인 부실이 있었기 때문이었습니다.

3. 147일간의 무방비 상태: 중국에서 5개월 동안 이어진 유출

더욱 충격적인 사실은 유출이 단 한 번의 사건으로 끝나지 않았다는 점입니다. 범인은 지난 6월부터 수개월 동안 지속적으로 개인정보를 빼내 간 것으로 알려졌습니다. 한두 번의 비정상 접속도 아니고, 수개월간 이어진 대규모 데이터 반출을 회사는 전혀 알아채지 못했습니다.

이는 피신청인의 접근 통제, 권한 관리, 인증수단 관리, 이상 징후 탐지 및 출력(다운로드) 통제 시스템이 총체적으로 붕괴 되어 있었음을 의미합니다. 

법적으로 기업은 개인정보처리시스템의 접속기록을 ‘월 1회 이상‘ 점검할 의무가 있습니다. 수개월간 비정상적인 해외 접속과 대규모 데이터 다운로드를 전혀 인지하지 못했다면 이는 쿠팡의 보안 관제 시스템이 사실상 전혀 작동하지 않는 ‘무방비 상태’였음을 증명합니다. 이처럼 장기간의 감시 실패는 단순한 실수가 아니라, 회사의 인증 시스템 자체에 치명적인 결함이 있었기에 가능했습니다. 바로 수년간 방치된 ‘마스터키’ 문제입니다.

4. 수년간 방치된 ‘마스터키’: 갱신되지 않은 인증 시스템

어떻게 퇴사한 직원이 그토록 오랫동안 자유롭게 시스템에 드나들 수 있었을까요? 그 해답은 터무니 없이 안일한 ‘서명키와 토큰’ 관리와, 심지어 수년간 방치된 ‘서명키(Signing Key)’에 있습니다.

‘서명키’와 이를 통해 발급되는 ‘액세스 토큰’은 디지털 세상의 ‘마스터키’나 ‘출입카드’와 같습니다. 이 키가 있어야만 시스템은 사용자를 신뢰하고 문을 열어줍니다. 언론 보도에 따르면 쿠팡은 이 핵심 서명키를 수년간(5년~10년) 단 한 번도 갱신하지 않고 방치했습니다.

최신 토큰 기반 인증 시스템은 확장성이 뛰어나고 효율적이지만, 치명적인 약점이 있습니다. 한번 발급된 토큰은 유효기간이 끝나기 전까지는 계속 유효하다는 점입니다. 따라서 주기적인 키 갱신과 짧은 토큰 유효기간 설정은 선택이 아닌 필수 보안 원칙입니다. 하지만 쿠팡은 이 원칙을 무시했습니다. 그 결과, 퇴사한 직원이 과거에 발급받았던 낡은 ‘출입카드’가 퇴사 후에도 얼마든지 시스템에 접속할 수 있는 ‘만능 열쇠’가 되어버린 것입니다.

이 보도가 사실이라면, 핵심 안전조치인 ‘인증 수단’을 통한 개인정보처리시스템의 접근 통제는 완전히 해체된 셈입니다.

이는 사실상 인증 시스템의 존재 이유를 부정하는, 교과서적인 실패 사례입니다. 기술적 보안 조치의 심장이 멈춘 것이나 다름없습니다.

5. 은폐와 축소: 사고 후 대처도 문제였다

최악의 보안 사고는 최악의 사후 대응으로 이어졌습니다. 쿠팡의 대응은 ‘무능, 기만, 혼란, 회피’라는 네 단어로 요약할 수 있습니다.

• 무능 (탐지 실패): 쿠팡은 자체 보안 시스템이 아닌, 유출범에게 직접 협박당한 고객의 문의를 받고서야 5개월간 이어진 유출 사실을 처음 인지했습니다.
• 기만 (경위 은폐): 고객이 협박당했다는 심각한 범죄 연루 사실은 숨긴 채, 단순히 ‘고객 문의’로 침해를 인지했다고 발표하며 사건의 본질을 가렸습니다.
• 혼란 (규모 번복): 당국에 최초 신고 시 유출 규모를 4,500건으로 보고했다가, 불과 11일 만에 3,370만 건으로 7,500배나 수정 발표하며 사태 파악 능력에 대한 신뢰를 잃었습니다.
• 회피 (모호한 통지): 피해자들에게 보낸 공지에서 법률 용어인 ‘유출’ 대신 ‘노출’이라는 애매한 표현을 사용해, 정보가 외부로 탈취된 심각한 사안을 희석하려 했습니다.

이러한 대응은 피해자들이 2차 피해를 예방할 최소한의 기회마저 박탈했으며, 대한민국 1위 이커머스 기업의 신뢰도를 스스로 무너뜨린 행위였습니다.

결론: 우리에게 남겨진 질문

이것은 침해 사고가 아니라, 시스템의 붕괴였습니다. 물류 혁신으로 제국을 건설한 기업이 가장 기본적인 디지털 물류에는 실패했습니다. 퇴사한 직원의 방문을 잠그지 않았고, 5개월 내내 보안 카메라를 확인하지 않았으며, 수년간 마스터키를 교체하지 않았고, 최악의 사태가 터졌을 때 정직하지 못했습니다. 모든 면에서 이것은 명백한 ‘인재(人災)’였습니다.

이 사건은 우리 모두에게 무거운 질문을 던집니다.

우리는 거대 플랫폼 기업에 개인정보의 안전을 어디까지 믿고 맡길 수 있을까요? 이러한 사회적 재난이 반복되지 않기 위해 기업의 책임과 소비자의 권리는 어디까지 강화되어야 할까요?