[아이뉴스24 박정민 기자] 쿠팡 대규모 개인정보 유출 사고와 관련해 '서명키' 관리 등 쿠팡의 허술한 보안 실태에 대한 보안업계의 지적이 잇따르고 있다. 핵심 보안 장치에 대한 내부통제가 지켜지지 않았으며, 정보보호 투자도 매출 대비 저조해 보안에 대한 쿠팡의 미흡한 인식을 보여준다는 비판이다.
![국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3370만건이 넘는 대규모 정보 유출 사고가 발생했다. 사진은 30일 서울 송파구 쿠팡 본사. [사진=연합뉴스]](https://image.inews24.com/v1/d5225b02257873.jpg)
4일 보안업계에 따르면 쿠팡 개인정보 유출 사고는 퇴사한 전(前) 직원이 퇴사 전 핵심 보안장치인 서명키를 탈취해 데이터베이스(DB)에 접근할 수 있는 '인증토큰'을 위조하는 방식으로 이뤄졌다.
이를 두고 쿠팡의 서명키 관리 방식이 기본 수칙과 동떨어져 있다는 비판이 나온다. 인증토큰을 생성할 수 있는 서명키의 경우 내부 하드웨어로만 접근할 수 있는 것이 원칙이며, 외부로 유출되지 않아야 한다. 서명키 유효기간 역시 통상 3년 미만으로 설정하는 것이 일반적이나 쿠팡은 유효기간을 5년까지 책정했다.
황석진 동국대 정보보호대학원 교수는 쿠팡의 서명키 관리 방식을 두고 "회사의 인감도장을 외부에서 맘대로 갖고 놀게 한 것과 같은 행위"라고 지적했다. 김승주 고려대 정보보호대학원 교수는 "글로벌 이커머스 기업을 표방하는 쿠팡의 보안 수준이 국내 일반기업 수준에도 못 미친 것"이라고 꼬집었다.
장기간 정보 유출에도 쿠팡이 5개월여간 감지하지 못한 것 역시 문제라는 지적도 제기됐다.
김승주 고려대학교 정보보호대학원 교수는 전날(2일) 국회 과학기술정보방송통신위원회 현안질의에서 '이상거래탐지시스템(FDS)'을 통해 개인정보 유출을 발견할 수 있었을 것이라고 지적했으나, 브랫 매터스 쿠팡 최고정보보호책임자(CISO)는 FDS에 대해 "보안팀에서 관리하지 않고 있다"고 책임을 회피했다. 보안업계 관계자는 이를 두고 "FDS뿐만 아니라 DLP(데이터 손실 방지 시스템) 등 기본적인 보안 시스템도 작동했는지 의구심이 든다"고 비판했다.
![국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3370만건이 넘는 대규모 정보 유출 사고가 발생했다. 사진은 30일 서울 송파구 쿠팡 본사. [사진=연합뉴스]](https://image.inews24.com/v1/fc323259357180.jpg)
매출 성장에만 몰두해 보안 투자에는 소홀히 했다는 책임론도 피할 수 없다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면, 쿠팡은 지난해 정보보호 분야에 유통업계 최고 수준인 약 860억원을 투자했다. 그러나 지난해 쿠팡 전체 매출(41조원)에 비하면 0.2% 수준에 그쳤다.
매출 대비 정보보호 투자 비율의 경우 전체 업종 평균(1.03%)은 물론, 넥슨(0.56%)·크래프톤(0.35%)·엔씨소프트(1.14%)·넷마블(0.21%) 등 게임사보다도 비중이 낮은 수준이다. 보안업계 관계자는 "이번 사태로 쿠팡이 그간 IT 인프라에 비해 보안 관련 투자에 소홀했다는 비판을 피할 순 없을 것"이라고 밝혔다.
현재 민관합동조사단의 조사가 진행 중인 가운데 쿠팡 사태에 대한 정확한 원인, 피해 규모 파악에는 상당한 시간이 소요될 전망이다. 황석진 교수는 "정확한 원인을 규명하려면 결국 경찰의 디지털포렌식 결과까지 완료돼야 한다"며 "사실상 전 국민이 이용하는 쿠팡의 방대한 DB량을 고려하면 6개월 이상 걸릴 가능성이 높다"고 밝혔다.
/박정민 기자(pjm8318@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기