국내 전자상거래 1위 업체인 쿠팡이 고객 3370만명의 이름·주소 등을 탈취당한 사실이 확인되면서 ‘정보유출 공포’가 다시 확산하고 있다.

올해는 ‘해킹의 해’라는 자조가 나올 만큼 통신사, 금융기관, 온라인 서점, 취업 포털, 법무법인, 게임사, 가상자산 거래소 등 업종을 가리지 않고 정보 유출 사고가 잇따랐는데, 국민 대다수가 이용하는 쿠팡까지 뚫린 것이다. 퇴사한 직원 소행 가능성이 제기되고 있으나 비인가 정보 수집을 수개월 간 탐지하지 못했다는 점에서 쿠팡은 책임을 피할 수 없을 것으로 보인다.

30일 업계에 따르면 쿠팡의 이번 사고는 올해 최악의 정보 유출로 평가될 가능성이 높다. 탈취당한 고객 정보 규모가 SK텔레콤(2300만명)을 뛰어넘는 데다 이름·주소·전화번호·e메일·주문정보 등 생활 밀착 정보가 빠져나갔기 때문이다. 이러한 정보를 조합하면 ‘맞춤형 피싱’ 등이 손쉬워진다. 과학기술정보통신부와 개인정보보호위원회가 전날 서둘러 ‘대국민 보안공지’를 밝힌 것도 “2차 피해 방지”를 위해서였다.

쿠팡의 이번 사고에서는 국내 취약한 보안 실태를 드러내는 ‘3대 패턴’이 고스란히 반복됐다. ‘뒤늦은 인지’가 첫 번째다. 쿠팡에 따르면 개인정보 유출이 시작된 시점은 지난 6월24일이다. 그러나 이런 사실을 파악하고 공지한 시점은 지난 29일로, 5개월이 늦었다.

일각에선 퇴사한 직원이 정보를 유출했을 가능성이 제기되고 있지만, 쿠팡은 이상징후 파악 실패 책임을 면할 수 없다는 지적이 나온다. 김승주 고려대 정보보호대학원 교수는 “주요 키(권한)에 접근할 수 있는 직원이 퇴사했음에도 키를 초기화하지 않은 데다 (이 직원이) 정상 사용자로 위장한 채 수개월 간 지속된 비정상적 크롤링(자동화된 정보 수집)을 했음에도 탐지하지 못했다는 얘기”라고 말했다.

쿠팡이 비정상적 정보 수집을 탐지하지 못했던 배경엔 서버 인증 취약점 문제가 있었던 것으로 보인다. 과학기술정보통신부와 개인정보보호위원회는 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만개 이상의 고객 계정 정보를 유출한 것으로 확인했다”고 30일 밝혔다. 쿠팡이 인증 취약점을 방치한 데 대한 비판이 거세질 것으로 보인다.

사이버 침해를 뒤늦게 알아채는 것은 과거 주요 해킹에서도 반복된 문제였다. 올해 2300만명 개인 정보를 탈취당한 SK텔레콤의 경우 내부망에 해커가 침투하기 시작한 시점은 2021년이다. 지난 4년간 SK텔레콤에선 침입 탐지 및 방어시스템이 가동되지 않았다. 무단 소액결제 사태가 일어난 KT 역시 ‘불법 기지국’(펨토셀) 접속이 지난해 10월부터 시작된 사실을 1년이 지난 뒤 파악했다.

국내 최고 수준의 보안 인증인 ISMS-P(정보보호 및 개인정보보호 관리체계)를 통과하고도 대규모 정보유출이 발생한 점도 역대 주요 해킹과 닮았다. SK텔레콤, KT, 롯데카드 등은 모두 ISMS-P 인증을 받고도 해킹을 피하지 못해 해당 인증의 실효성을 두고 논란이 인 바 있다.

과기정통부와 개보위는 이에 ISMS-P 인증을 서류·체크리스트 중심 심사에서 현장 점검 중심으로 전환하고 중대한 결함이 발견될 경우 인증을 취소하는 등의 대책을 마련했다. 그러나 “ISMS 인증 관련 인력 자체가 부족해 인증 실효성이 제대로 개선될지 의문”(임종인 고려대 정보보호대학원 석좌교수)이란 지적이 계속되고 있다.

기업의 ‘피해 발표 번복’ 역시 반복됐다. 쿠팡은 지난 20일 고객 4536명 이름·전화번호·배송주소·주문내역 5건 등이 노출됐다고 밝혔다. 그러나 불과 9일 만에 피해 고객 규모를 약 3300만명으로 정정했다. 피해 고객 규모가 초기 발표보다 7500배 늘었다.

롯데카드 역시 지난 9월 내부망 침입을 발견 후 “정보 유출은 없다”는 입장을 고수했으나 한 달 뒤 최종적으로 297만명 고객 정보 200GB(기가바이트)가 유출된 사실이 확인됐다. 같은 달 KT 역시 경찰로부터 무단소액 결제 피해 신고를 전달받고도 나흘간 해킹 가능성을 부인하다 뒤늦게 인정했다. 심지어 법무법인 로고스는 1년 전 1.6테라바이트(TB) 규모의 고객 소송자료를 탈취당하고도 이 사실을 고객에게 알리지도 않았다. 그러다 다크웹에 소송 정보가 대량 게시되면서 개인정보위 조사를 받고 지난 21일에야 해킹 사실을 공지했다.

전문가들은 쿠팡 사고를 그간의 보안 대책을 돌아보는 계기로 삼아야 한다고 지적한다. 정부가 지난 10월 국민 다수가 이용하는 공공·민간 1600여개 정보기술(IT) 시스템의 보안 취약점을 직접 점검키로 하는 등의 대책을 발표했지만 이런 대책만으론 보안 수준 개선이 쉽지 않다는 것이다.

김용대 카이스트 전기전자공학부 교수는 “국내에서 보안 투자를 많이 하는 것으로 알려진 기업 중 하나인 쿠팡에서 대규모 유출이 일어났다는 점에서 사태가 심각하다”면서 “정부 대책에는 서비스·제품 개발단계부터 보안을 고민케 하는 등의 전략과 원칙이 빠져있어 보안 역량을 근본적으로 끌어올리기 어렵다. 이번 기회에 대책을 재점검해야 한다”고 말했다.

임 교수는 “정부가 일일이 조사하는 식은 보안 인력 부족으로 겉핥기식 점검으로 흐르기 쉽다”면서 “기업이 보안에 자발적으로 투자할수록 세제 혜택을 주는 방식도 고민해야 하고, 국내 보안 산업을 확실하게 키우는 방향으로의 재설계가 필요하다”고 말했다.