3370만건에 달하는 쿠팡 개인정보 유출 파문이 걷잡을 수 없이 확산하면서, 이번 사건의 기술적 실체를 규명할 민관합동조사단에 관심이 쏠리고 있다.
2일 열린 국회 과학기술정보방송통신위원회 현안질의에서 류제명 과학기술정보통신부 2차관은 "공격자가 쿠팡 서버의 인증 취약점을 악용해 정상 로그인 절차 없이 고객 정보에 6월24일부터 11월 8일까지 반복적으로 접근했다"고 밝히며, 암호키 악용과 5개월간의 비정상 접속을 공식 확인했다. 정부는 3000만건 이상의 계정 정보가 무단 조회된 사실을 토대로 긴급 대응 및 2차 피해 방지 조치를 가동한 상태다.
쿠팡은 "결제 정보 오리지널바다이야기 나 계정 비밀번호는 빠져나가지 않았다"고 선을 긋고 있지만, 침해 사실조차 5개월간 파악하지 못한 상황에서 특정 정보만 유출됐다고 단정할 수 있을지 의문이 제기된다. 특히 해외에서의 서버 접근 정황, 퇴사자 계정 유지 가능성, 인증키 폐기 절차 등 핵심 기술 항목이 다수 확인되면서 사건의 성격은 점점 복잡해지고 있다.
전문가들은 이번 사건 바다이야기온라인 의 쟁점으로 '유출 데이터의 실제 범위'를 꼽는다. 쿠팡이 파악한 개인정보 외에 계정 정보, 결제·신용정보, 인증 정보 등이 추가로 노출됐을 가능성도 있다는 이유에서다. 김명주 인공지능안전연구소장은 "5개월간 인지도 못 한 상태에서 '이 정보만 나갔다'고 확신하기 어렵다"며 "조사단은 쿠팡이 보유한 전 정보가 유출됐을 가능성을 전제로 조사해야 한다"고 강조 릴짱 했다. 데이터는 복제 방식으로 빠져나가기 때문에, 시스템 내부에 기록이 남아 있어도 유출 여부를 단정할 수 없다는 지적이다.
또 다른 의문 중 하나는 해외에서의 서버 접근 정황이다. 전문가들은 "관리자급 인증키 또는 계정이 외부에서 사용됐는지" "가상 사설망(VPN)이나 우회 접속에 취약했는지" 등 다층적 가능성을 열어두고 분석해야 한다고 바다이야기룰 입을 모았다. 박춘식 서울여대 정보보호학과 교수는 "내부자 계정이든, 취약점 기반 접근이든 둘 다 탐지가 안 됐다는 점이 더 심각하다"고 지적했다.
해외 접근 논란은 퇴사자 계정 통제 문제와도 맞닿아 있다. 퇴사 후에도 인증키가 제대로 폐기되지 않고 남아 있었다면 정상 로그인 방식의 유출도 충분히 가능하기 때문이다. 홍준호 성신여대 융합 모바일바다이야기하는법 보안공학과 교수는 "인증키·암호화키는 생성부터 폐기까지 엄격하게 관리돼야 하는데, 퇴사자 키가 장기간 활성화됐다면 내부 통제 미비의 대표적 신호"라고 말했다. 익명을 요구한 보안업체 대표는 "쿠팡에 가동되는 IT 시스템이 워낙 많고, '제로트러스트' 보안 체계(시스템별로 접근 권한을 촘촘히 설정하는 체계)를 기반으로 자동화돼야 하는데 그렇지 못하고 매뉴얼대로만 진행됐던 것 같다"며 "담당자의 실수나 묵인이 발생했을 수 있다"고 했다.
또 하나의 핵심 쟁점은 유출된 데이터가 지금 어디에 있는가다. 이형택 한국랜섬웨어침해대응센터장은 "데이터를 확보한 사람이 아무 행동도 하지 않았을 가능성은 낮다"며 "쿠팡과 유출자 사이에 비공개 협상이 있었지만 결렬되면서 외부 노출로 이어졌을 수도 있다"고 분석했다. 통상 해커가 고액을 요구할 경우 자금 추적이 가능해지기 때문에 조용한 협상을 택하는 경우가 많고, 합의가 실패하면 다크웹에 데이터를 공개해 기업을 압박하는 방식이 흔하다는 설명이다.
누가 어떤 경로로 데이터를 가져갔는지 확인하는 것도 필수다. 엄격한 보안 체계가 아니면, 내부 개발자나 권한을 가진 사람이 인증 정보만 알고도 대량 데이터를 내려받는 것이 기술적으로 어렵지 않기 때문이다. 이 센터장은 내부 공모 가능성도 배제할 수 없다고 지적했다.
박유진 기자 genie@asiae.co.kr김보경 기자 bkly477@asiae.co.kr 기자 admin@seastorygame.top