최근 회원정보 유출 사태가 발생한 쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받았지만, 핵심 요구사항을 제대로 이행하지 않았다는 의혹이 제기됐다. 공격자로 추정되는 쿠팡 전 직원은 퇴사한 후에도 인증용 토큰을 활용해 시스템에 접근한 것으로 추정된다.
ISMS 인증 무용론까지 대두
조인철 더불어민주당 의원은 2일 열린 과학기술정보방송통신위원회(이하 과방위) 전체회의에서 "(쿠팡이) ISMS 인증을 계속 받았는데도 개인정보가 유출됐다"면서 "ISMS 제도 자체에 대한 종합적인 점검을 통해 대책이 마련돼야 한다"고 지적했다.
과학기술정보통신부에 따르면 약 3370만개에 달하는 쿠팡 계정의 이름·전화번호·주소·배송지·이메일 등이 유출됐다. 당초 쿠팡은 4536개 계정의 이름과 이메일주소가 유출된 것으로 파악했으나, 한국인터넷진흥원(KISA)이 쿠팡의 로그기록을 전수조사한 결과 피해규모가 확대됐다.
공격이 식별된 기간은 올해 6월24일부터 11월8일까지다. 최민희 더불어민주당 의원실에 따르면 고객정보를 빼돌린 공격자는 쿠팡에서 인증 관련 업무를 담당했으며, 현재는 퇴사한 직원으로 추정된다. 류제명 과기정통부 2차관은 "쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 고객 정보를 수차례 비정상 접속해 유출했다"면서 "인증용 토큰과 전자 서명하는 암호 키가 악용됐다"고 설명했다.
다수의 의원들은 쿠팡이 ISMS-P 인증을 받았는데도 인증에 사용되는 암호 키를 제대로 관리하지 못했다는 점을 지적했다. 쿠팡은 ISMS-P를 2021년에 인증받았으며 2024년에 한 차례 갱신했다. ISMS 인증 기준 중 2.2.5조항에는 퇴직·직무변경 시 정보자산을 반납하고 접근권한을 회수하거나 조정하도록 하고 있는데, 쿠팡은 ISMS-P 인증을 받아놓고도 퇴사한 직원이 정보에 접근하는 것을 막지 못했다.
박대준 쿠팡 대표는 "(법 조항대로) 운영하고 있다"면서 "어떻게 접근했는지는 경찰 수사를 진행하고 있다"고 답했다.
앞서 SK텔레콤, KT, LG유플러스 등 통신사에 이어 쿠팡까지 ISMS-P를 인증받고도 개인정보 유출을 막지 못했다며, 인증 제도 자체 유명무실한 게 아니냐는 질타도 나왔다. 이정렬 개인정보보호위원회 부위원장은 "국정감사에서도 여러 의원들의 지적이 있어서, 내무 연구반을 구성해서 제도개선 막바지 단계에 있다"고 말했다.
"'호텔 방 키' 생성 비밀번호 가지고 나간 셈"
박 대표는 이 자리에서 공격자로 추정되는 전 직원 관련 질문에 "수사 중"이라면서 말을 아꼈다. 그러나 전 직원의 업무 범위에 거듭 묻는 질문에는 "인증업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자"라고 답했다.
이준석 개혁신당 의원은 브랫 매티스 쿠팡 최고정보보호책임자(CISO)에게 공격자가 어떤 방식으로 정보를 유출할 수 있었는지, 유출된 암호 키가 어떤 역할인지 집중적으로 질의했다.
브랫 매티스 CISO는 "고객이 로그인 후 발급받는 토큰의 '프라이빗 서명 키'가 탈취됐으며, 고객의 크리덴셜(인증정보)이나 해시밸류가 노출된 것으로는 생각되지 않는다"면서 "공격자로 생각되는 사람은 훔친 키를 사용해 서명하고, 다른 사용자처럼 서명했다"고 설명했다.
이러한 답변에 이 의원은 가짜 인증용 토큰을 만들면, 데이터베이스에 저장된 해시값과 다르더라도 인증된다는 게 아니냐고 꼬집었다.
참고인으로 출석한 김승주 고려대 정보보호대학원 교수는 공격자가 개인정보를 유출한 정황을 두고 호텔방 키에 빗대 설명했다.
김 교수는 "호텔에 들어갈 때 신원을 확인한 후 방 키를 발급받는데, 호텔 방 키를 발급하는 비밀번호를 가지고 나간 것"이라고 비유했다. 직원이 퇴사한 후 비밀번호를 바꿔야 했는데 그러지 않았고, 전 직원은 비밀번호로 호텔 방 키를 무한으로 생성해 고객정보를 빼냈다는 설명이다.
잦은 유출사고…솜방망이 처벌 비판
쿠팡의 개인정보 유출사고는 이번이 네 번째다. 지난 2021년 10월에는 총 14명의 개인정보가 외부로 노출됐고, 2020년 8월부터 2021년 11월에는 쿠팡이츠 배달원 13만5000명의 정보가 음식점에 전달됐다. 2023년 12월에는 판매자 전용 시스템에서 주문자와 수취인 2만2440명의 개인정보가 노출됐다.
최수진 국민의힘 의원은 "외부에서 해킹한 것도 아니고, 내부에서 관리를 못하고 있다는 건 심각한 문제"라면서 "지금까지 이 세 가지 사고에 대한 과징금이 16억원밖에 안 되는데, 너무나 솜방망이 처벌이 아니냐"며 비판했다. 이정렬 개인정보위 부위원장은 "실정에 맞게 비례해서 엄중하게 책임을 물을 수 있도록 하겠다"고 말했다.
쿠팡의 지난해 매출이 약 41조원인 만큼, 개인정보보호법상 연 매출의 최대 비율인 3%를 적용하면 과징금 규모는 1조2000억원까지 늘어날 수 있다.
징벌적 손해배상이 필요하다는 목소리도 나온다. 노종면 더불어민주당 의원은 지난 10년간 징벌적 손해배상 대상으로 인정된 바 없다면서 법상으로는 고의 또는 중과실만으로도 징벌적 손해배상이 가능한데도 법원이 인정해주지 않는다고 지적했다. 이 부위원장은 "빠른 시일 내 제도 개선안을 마련해 추진하겠다"고 말했다.
