쿠팡의 고객 개인정보 대량 유출 사고를 조사한 민관합동조사단이 이번 사안의 책임이 기업의 보안 관리 부실에 있다는 조사 결과를 발표했다. 조사단은 이번 사고를 고도화된 해킹이 아닌 시스템 관리 미비에 따른 보안 사고로 규정했다. 이에 따라 향후 개인정보보호위원회의 과징금 규모가 역대 최대 수준에 달할 것이라는 분석이 나온다.
사건은 쿠팡에서 근무했던 전직 소프트웨어 개발자가 퇴사 과정에서 보안 인증용 서명키를 반출하면서 시작됐다. 해당 개발자는 이를 이용해 위조 전자 출입증을 제작했고, 가입자 정보 중 배송지 목록 페이지에 접속해 이름과 전화번호, 주소, 공동현관 비밀번호 등 3,367만 건의 개인정보를 탈취했다. 조사 결과 이 페이지에 대한 조회 횟수만 1억 4,000만 번을 상회한 것으로 드러났다.
로그 기록에 따르면 가해자는 퇴사 후인 지난해 1월 시스템 접속 테스트를 거쳤으며, 4월부터 7개월 동안 2,300여 개의 IP를 동원해 정보를 수집했다. 이 과정에서 쿠팡 보안 시스템은 이상 징후를 전혀 감지하지 못했다. 조사단은 위변조된 전자 출입증을 검증하는 최소한의 절차도 마련되어 있지 않았다고 지적했다.
과학기술정보통신부는 이번 유출 사고가 기술적 한계를 넘어서는 지능형 공격이 아니라는 점을 분명히 했다. 취재 결과 다른 현직 직원의 업무용 노트북에서도 전자 출입증을 생성할 수 있는 전자키가 방치된 상태로 발견되는 등 전반적인 보안 체계가 허술했던 정황이 확인됐다. 시스템 접근 권한이 퇴사 후에도 유지되었거나 복제 가능했다는 점은 기업의 관리 소홀을 뒷받침하는 핵심 근거로 제시됐다.
유출된 정보가 해외 클라우드로 전송될 수 있도록 설계된 별도 시스템도 포착됐다. 다만 실제 전송 여부에 대해서는 기록이 삭제되어 최종 확인이 어려운 상태다. 현재까지 2차 피해나 결제 정보 유출 사례는 추가로 발견되지 않았으나, 유출된 데이터의 양과 질을 고려할 때 잠재적 위험은 여전하다는 것이 전문가들의 설명이다.
개인정보보호위원회는 이번 조사 결과를 바탕으로 본격적인 과징금 산정 절차에 착수한다. 민관합동조사단이 쿠팡의 과실을 명시함에 따라 법정 최고 수준의 제재가 내려질 가능성이 크다. 현행 개인정보 보호법은 위반 행위와 관련된 전체 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있다.
쿠팡의 최근 매출 규모를 고려하면 과징금 액수는 수천억 원대에 이를 것으로 추산된다. 기업의 보안 불감증이 초래한 대규모 정보 유출에 대해 당국이 어떤 수위의 징계를 확정할지 업계의 시선이 집중되고 있다. 보안 체계의 근본적인 혁신 없이는 유사 사고의 재발을 막기 어렵다는 비판도 거세질 전망이다.
