쿠팡 최대주주인 김범석 의장. 2021년 미국 상장 직후 미국증권거래소 앞에서 찍은 사진이다(쿠팡)
더트래커 = 김상년 기자
3370만명의 개인 정보가 유출된 쿠팡 사태는 너무 부실한 인증토큰과 서명키 관리가 1차원인이라는 정황이 속속 확인되고 있다.
2일 정부 당국과 경찰, 국회 최민희 의원실 등에 따르면 유력 용의자로 지목된 중국인은 쿠팡 재직 당시 내부망에 접속해야 하는 직원들에게 토큰(암호)을 발급하는 업무를 맡았다. 인증 토큰은 로그인할 때 발행되는 출입증으로, 통상 토큰을 갖고 있으면 시스템에 로그인 없이 접근할 수 있다.
정상적인 기업의 퇴직 직원 관리라면 퇴사 후 해당 권한이 차단돼야 하지만 이 중국인은 퇴사 후 5개월 동안 쿠팡 내부망을 들락거리며 하루 평균 23만명의 개인 정보를 빼돌린 것으로 추정된다.
쿠팡은 중국인 개발자가 쿠팡 이용자에게 협박 메일을 보내 문제가 외부로 드러날 때까지, 퇴직자가 내부망에 계속 접속하고 있다는 것도, 매일 수십만 명의 개인 정보가 유출되고 있다는 사실도 몰랐다.
이와관련, 류제명 과기정통부 2차관은 이날 국회 과방위 긴급 현안 질의에서 "쿠팡 개인정보 유출사고에서 식별된 공격기간은 지난 6월24일부터 11월8일까지"라고 밝혔다.
류 차관은 "지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3천만개 이상 계정에서 개인정보다 유출됐다"며 "공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다. 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자서명하는 암호키가 사용됐다"라고 설명했다.
현재는 퇴사한 중국인 인증 담당자가 개인정보를 유출했다는 의혹에 대해 류 차관은 "공격자 신상 정보는 경찰 수사로 확인이 필요하다"며 "확인이 필요한 미상자가 쿠팡 측에 메일을 보내 배송지 등 3천만건의 개인정보 유출을 주장했다"고 전했다. 류 차관은 KT 무단 소액결제 사고처럼 관리 부실이 이번 쿠팡 사고의 배경이 됐다고도 언급했다.
사태의 파장은 갈수록 커지고 있다. 이번 사태 이후 처음으로 쿠팡 이용자 14명이 쿠팡을 상대로 각 20만원의 위자료를 청구하는 소장을 지난 1일 서울중앙지법에 제출했다. 소송 참여자를 모집하는 온라인 카페의 회원 수는 급증하고 있다.
이날 대통령실 강훈식 비서실장은 “징벌적 손해배상 제도가 사실상 작동하지 않는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 주문했다.
쿠팡 고객들의 이름과 주소, 전화번호와 일부 구매 정보까지 외부로 흘러 나간 사실이 확인되면서 이 정보가 실제 범죄에 쓰일 수 있다는 우려도 커지고 있다. 정부는 서둘러 스미싱·보이스피싱 경보를 내리고 다크웹 모니터링 강화 기간도 설정했다.
정부는 사칭 전화나 환불 안내, 배송 문제를 빙자한 문자 등을 악용한 2차 피해가 발생할 수 있다며 쿠팡 고객들에게 각별한 주의를 주문했다. 배송 사칭 뿐 아니라 카카오톡을 이용한 가족 사칭이나 금융 앱을 악용한 환불 사기, 우체국-택배사 배송 안내로 위장한 문자 등이 특히 우려 대상이다.
정부는 모르는 번호로 온 환불·배송 오류 안내는 일단 의심하고, 링크 클릭이나 앱 설치, 결제정보 입력 등은 피하는 것이 기본이라고 밝혔다. 쿠팡 공식 공지나 앱 내 메시지를 제외한 외부 연락은 쿠팡 고객센터를 통해 재확인이 반드시 필요하다고도 주문했다.