국회 과학기술정보방송통신위원회가 2일 쿠팡 개인정보 유출 사태를 집중 추궁하는 과정에서, 쿠팡의 보안 통제 실패·사건 은폐·정부 대응 역량 부재가 총체적으로 드러났다. 쿠팡이 밝힌 ‘유출 규모 3370만 계정’조차 실제 파악이 불가능한 상태이며, 핵심 보안 구조부터 개발자 접근 권한까지 사내 통제가 사실상 붕괴돼 있었다는 정황이 국회에서 확인됐다.

더 큰 문제는 정부 대응의 허술함이었다. 배경훈 부총리 겸 과학기술정보통신부장관은 초반 “쿠팡 민관합동조사단 8명이 전담 조사 중”이라고 답변했으나, 30분 뒤 스스로 말을 번복했다. 류제명 제2차관은 “KT·LGU+ 대규모 유출 사건에 이미 30명, 12명의 인력이 투입돼 있다”며 “쿠팡 조사는 전담이 아니라, 인력 부족으로 기존 사건과 병행하는 조사”라고 정정했다. 사실상 정부는 쿠팡 사태를 단독 처리할 여력이 없다는 점을 공식 인정한 셈이다.

국회 질의에서 가장 충격적으로 드러난 대목은 쿠팡 스스로 유출 규모·항목·기간을 전혀 파악하지 못한다는 사실이다. 박대준 쿠팡 대표는 “유출 항목별로 건수를 따지면 수억 건 이상이 될 수 있다”는 지적에 “조사를 해봐야 나온다”며 규모 추정조차 못 했다. 휴면·탈퇴 계정 포함 여부를 묻자 “일부 포함된 것으로 보인다”고 답했다.

브랫 매티스 쿠팡 정보보호 최고책임자(CISO)는 휴면·탈퇴 회원 유출 규모를 묻자 “파악 중이며 시간이 걸린다”고 했다. 즉, 쿠팡은 어떤 고객의 어떤 정보가 얼마나 유출됐는지도 모르고 있다.

가장 심각한 지적은 내부 개발자의 접근 범위였다. 국회 과방위는 쿠팡이 밝힌 ‘퇴직한 데이터 엔지니어’가 실제로는 이름·주소·전화번호·결제내역·주문기록 등 “개인식별정보(PII) 데이터 전체에 접근할 수 있었던 것 아니냐”고 추궁했다.

쿠팡 CISO는 “일부 PII 데이터에는 접근했다”고 인정했다. 또한 “전체 PII에는 패스워드 재입력 절차 때문에 접근이 어려웠다”고 했지만, 국회는 “그렇다면 접근 가능한 영역은 사실상 무방비로 열려 있었다는 뜻”이라며 강하게 질타했다.

특히 “프로덕션 환경과 개발 환경이 분리돼 있다”는 쿠팡 측 답변은 오히려 “그런데도 동일 인물이 두 환경 모두 접근했다는 뜻 아니냐”는 역추궁을 불렀다. 이는 권한 관리 체계 자체가 무너졌다는 결정적 증거로 지적됐다.

이준석 위원은 “패스워드 해시 테이블이 노출됐다면 사실상 전수 복구(크래킹)가 가능하다”는 점을 지적했다. 김승주 고려대 교수도 이에 동의하며 “솔트(Salt)가 있어도 완전한 방지는 어렵다”고 확인했다. 솔트(Salt)는 비밀번호를 해시 함수로 변환하기 전에 추가하는 임의의 문자열을 뜻한다. 솔트를 섞으면 이용자들이 '5678' 같은 동일한 비밀번호를 쓰더라도 저장되는 암호값은 서로 달라진다. 따라서 이는 해커들의 대량 해킹 시도를 무력화시키는 안전장치 역할을 한다.

문제는 쿠팡 사용자 상당수가 네이버·구글 등 주요 서비스와 동일 비밀번호를 사용하는 현실이다. 이 위원은 “네이버 메일 암호와 쿠팡 암호가 동일하면 OTP 인증도 무력화된다. 국민 누구나 스미싱·계정 탈취 위험에 놓인다”고 했다.

쿠팡 CISO는 결국 “말씀하신 시나리오가 적용될 수 있다”고 인정했다. 즉, 쿠팡 사태는 쿠팡 내부 보안만의 문제가 아니라 국민의 금융·전자지갑·메일 계정 전체가 연쇄 위험에 노출되는 중대한 보안 사고로 드러났다.

국회는 쿠팡이 사과문을 모바일과 PC에서 서로 다르게 노출하거나 사흘 만에 모바일에서 사라진 점도 집중 추궁했다. 이에 대해 박대준 대표는 “여러 가지 안내가 필요하다”며 “검토하겠다”는 말만 반복했다. 국회는 “이 사태의 엄중함을 전혀 모른다”며 질타했다.

이정렬 개인정보보호위원회 부위원장은 “CPO(개인정보보호책임자) 자격 기준은 있으나 외국인 여부나 팀 전체 규모는 파악할 법적 근거가 없다”고 밝혔다. 즉, 국내 1억명 가까운 개인정보를 보유한 대형 플랫폼의 핵심 보안책임자 구성조차 정부는 파악하지 못하는 상태다. 국회는 “이제는 팀 단위의 보안 인력 규모까지 의무 보고하게 해야 한다”고 비판했다.

국회 과방위 전체회의에서 류제명 제2차관은 다시 손을 들고 정정 발표를 했다. “KT·LGU+ 사건에 30명, 12명이 이미 투입돼 있어 쿠팡 민관합동조사단 8명은 중복 투입되는 구조다. 전담 체계가 아니다.” 즉, 과기부는 사실상 쿠팡 단일 사고 조사조차 전담할 수 없는 인력·체계 부족 상태라는 사실을 자인한 셈이다.

공동현관 비밀번호·집 주소·주문 성향까지 민감한 생활 정보가 결합돼 유출됐다는 사실도 국회에서 확인됐다. 과기부는 “매우 중대한 위반이며 2차 피해 가능성이 크다”며 경찰청과 협력해 보호조치를 안내하겠다고 했지만, 국회는 “이미 2차 피해가 진행 중일 가능성”을 지적했다.

이번 국회 회의에서 드러난 사실을 종합하면 다음과 같다. △쿠팡은 유출 규모·항목·대상·기간을 파악하지 못한다. △개발자 접근권한 관리가 붕괴돼, 내부자 공격 가능성이 가장 유력한 시나리오로 떠올랐다. △패스워드 해시 함수·OTP 체계까지 무력화될 수 있는 전 국민적 위험이 존재한다. △과기부는 “쿠팡 전담 조사단”이 없으며, 인력 부족으로 타 사건과 병행 조사 중이다. △대형 플랫폼 보안 책임자 구성·인력 규모조차 개인정보위는 파악하지 못한다.

쿠팡발 초대형 보안 사고는 단순한 기업의 관리 부실을 넘어, 한국 디지털 보안 체계 전반의 구조적 취약성을 적나라하게 드러낸 사건으로 기록될 전망이다. 이날 국회에서는 “쿠팡의 태도는 심각한 무책임”, “과기부 중심의 현 대응 체계로는 2차 피해를 막기 어렵다”, “플랫폼 보안 패러다임을 근본적으로 재설계해야 한다”는 등 비판이 쏟아졌다.

*해시 함수(Hash Function)는 비밀번호와 같은 입력 데이터를 복구할 수 없는 무작위 문자열로 변환하는 암호화 기술이다. 수학적으로 불가능해 보안 시스템에서 반드시 사용된다.

[뉴스로드] 최지훈 기자 jhchoi@newsroad.co.kr

출처 : 뉴스로드(http://www.newsroad.co.kr)

원문보기:https://www.newsroad.co.kr/news/articleView.html?idxno=50122