쿠팡에서 3370만건이 넘는 대규모 개인정보 유출 사고가 발생할 수 있었던 가장 큰 원인은 퇴사자에 대한 ‘인증키 관리 미흡’ 및 ‘퇴사자 권한 미회수’에 있었던 것으로 나타났다. 현재 경찰은 쿠팡 측으로부터 서버 로그기록을 제출받고, 피의자가 범행에 사용된 IP 주소를 확보해 추적하고 있다.

쿠팡은 매년 수백억원씩을 정보보호에 투자하고 있지만, 이번 대규모 회원 계정 정보 유출 사건으로 수천억원의 과징금을 부과받을 위기에 놓였다.

2023년 개정된 개인정보 보호법에 따르면 해당 법 위반 시 전체 매출액의 3%까지 과징금을 부과할 수 있다. 앞서 SK텔레콤은 올해 4월 발생한 개인정보 유출 사고로 1347억9000만원의 과징금을 부과받았다.

현재까지 밝혀진 사고 원인은 크게 ‘엑세스 토큰 서명키 관리 실패’와 ‘침해 탐지 지연’으로 파악되고 있다, 쿠팡이 국회 과학기술정보방송통신위원회에 제출한 자료에 따르면 쿠팡은 로그인에 필요한 ‘액세스 토큰’을 생성하는 서명키의 유효기간을 5~10년으로 설정했다. 또 담당 직원이 퇴사하거나 변경됐을 때도 이를 삭제하거나 갱신하지 않아, 장기간 유효한 인증키가 그대로 살아 있었다. 결과적으로 쿠팡에서 퇴사한 이후 외부인의 신분으로도 계속 이를 악용해 새로운 토큰을 발급받을 수 있었고, 고객 정보의 탈취가 가능했다.

이번 침해 시도는 6월 말에 시작됐으나 쿠팡은 5개월이나 지난 11월 말에서야 겨우 사고를 인지했다. 수백억원을 보안에 투자하면서도 5개월 이상 이상 접근을 탐지하지 못해, 내부 보안 체계가 사실상 무용지물이라는 비판이 나오고 있는 이유다.

개인정보 유출 원인은 지난달 25일 서울경찰청 사이버수사대가 쿠팡으로부터 고소장을 받아 사건 수사에 착수한 이후, 중국 국적의 전직 직원의 소행으로 지목됐다. 하지만 이 직원은 이미 퇴사 후 출국까지 해 수사에 난항이 예상되고 있다. 피해 규모가 큰 만큼 경찰 내부에서는 단독 범행이 아니라 여러 명이 공모했을 가능성도 제기되고 있다. 전문가들은 단순 직원뿐 아니라 전문 해커의 개입 가능성도 내놓고 있다.

또 이번에 유출된 정보는 이름이번 개인정보 유출에 배송 정보가 포함되면서 소비자 불안이 커지고 있는 만큼 다른 이커머스 업체들도 빠르게 긴급 점검 등 후속 대응에 나선 모습이다.
이번에 유출된 정보는 이름, 전화번호, 이메일 및 배송지 주소 등 개인정보뿐 아니라 주문 내역까지 포함된 것으로 알려지며 실제 피해 범위와 파장은 더욱 클 것이라는 분석이 지배적이다. 특히 배송지 정보는 일상생활과 직결돼 2차 스미싱이나 피싱 등의 악용 가능성도 제기된다.

개인정보보호위원회는 과학기술정보통신부 부총리가 주재한 긴급 대책회의에서 “이번 사고로 탈취된 정보를 악용해 피싱, 스미싱 공격으로 개인정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 주의를 바란다”고 밝히기도 했다. 이어 어제부터 3개월간은 ‘인터넷상(다크웹 포함) 개인정보 유·노출 및 불법유통 모니터링 강화 기간’으로 운영한다고 공지했다.

한편 쿠팡은 과기정통부와 개인정보위가 공동 운영하는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 2021년과 2024년 두 차례에 걸쳐 취득했음에도 이 같은 사고가 발생해 인증제도의 실효성 논란도 발생하고 있다.

특히 정보보호 투자와 인력을 꾸준히 강화해 온 것으로 알려진 쿠팡에서 대규모 개인정보 유출 사고가 일어났다는 점에서 보안은 ‘예산 부족’이 아닌 ‘운영체계와 내부 통제’에 근본적인 허점이 드러났다는 비판도 일고 있다.

이번 사고는 단순한 해킹 사고에 국한되는 것이 아니라 내부 관리 부실과 탐지 실패가 맞물린 구조적인 문제로 바라보고 있다. 또한 보안 인증인 ISMS-P 인증이 인증을 받기 위한 최소한의 제도적 절차만 확인하고 발급하는 데 그칠 것이 아니라 지속적인 관리와 내부 통제를 꾸준히 이어가는데 초점을 맞춰야 한다고 지적하고 있다.