AD
■ 방송 : YTN 라디오 FM 94.5 (09:00~10:00)
■ 진행 : 조태현 기자
■ 방송일 : 2025년 12월 05일 금요일
■ 대담 : 염흥열 순천향대 정보보호학과 명예교수
- 쿠팡 퇴직 개발자 사용한 '인증 토큰', 사실상 '만능 키'..카드 등 결제정보 미유출 쿠팡 주장에도 곧이곧대로 믿기 힘든 상황
- 쿠팡 계정 해외 로그인 흔적? 현재 개인정보 유출 피해보다 훨씬 더 큰 파급력
- 쿠팡 전직 개발자 인증 토큰 사용의 문제점, 개발 vs 운영환경 분리해야 하는데 쿠팡은 그렇지 못한 것
- 쿠팡, 내부자 보안 퇴지자 보안 사후 모니터링 모두 문제..뭐 하나 제대로 작동된 게 없어
- 중국, 데이터보호법에 근거, 중국 내 회사들이 수집한 정보, 중국 당국에 제출하는 규정 있는 게 사실
- '중국인' 개발자, 쿠팡 개인정보 빼내 '중국'에서 갖고 있다? 매우 특별한 상황
- 중국발 IP주소 검색기록, 민관합동조사단에서 조사 중..우려가 큰 상황
- 유출된 개인정부, 중국내 거래된다면? 다크웹 거래될 가능성이 가장 우려돼..정부 개인 모두 모든 수단 강구해 확산 막아야
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
□조태현: 국회 방송미디어통신위원회가 계정 탈퇴 절차를 매우 어렵게 해놓은 쿠팡에 대해서 긴급 사실 조사에 나섰습니다. 쿠팡의 대규모 개인정보 유출 논란이 굉장히 확대되고 있습니다. 쿠팡 측에서는 카드 결제 정보들은 유출되지 않았다 라고 계속 주장을 하고 있죠. 그런데 지금 돌아가는 상황을 보면 이게 진짜 맞는 얘기인가, 솔직하게 이야기를 하고 있는 건가... 굉장히 의심이 되는 일들이 벌어지고 있습니다. 소비자들만 대혼란을 겪을 수밖에 없겠죠. 그래서 전문가와 함께 자세한 이야기 나눠보도록 하겠습니다. 염흥열 순천향대 정보보호학과 교수와 함께 하겠습니다. 교수님 나와 계십니까?
■염흥열: 네. 안녕하세요.
□조태현: 많은 분들이 지금 분노도 하시고, 당황도 하시고 이런 것 같아요. 그런데 탈퇴를 하고 싶다고 생각을 했는데, 이 탈퇴가 너무 어렵다 그래서 포기했다 라는 이야기도 나옵니다. 국회에서 사실 조사에 들어갔다는 거죠?
■염흥열: 네 그렇습니다. 원래 통상적으로 웹사이트들이 가입은 굉장히 편하게 하면서도 사실은 이 탈퇴하는 과정을 굉장히 어렵게, 복잡하게 만들어서 탈퇴를 저지하게 만드는 그런 경향이 있습니다. 쿠팡도 마찬가지입니다.
□조태현: 국회 지적을 보면 쿠팡 탈퇴를 위해서는 약관 동의 해지, 쿠팡페이 해지, 주문 기록 삭제, 여러 가지 절차들이 있어서 최대 20단계까지 있었다고 하니까요. 이거는 나가지 말라는 강요나 다름없다고도 볼 수 있을 것 같습니다. 쿠팡 측에서는 계속 결제 정보, 그리고 통관 번호 이런 것들은 유출이 되지 않았다 라고 이야기를 하고 있거든요? 그런데 저희 YTN에서 보도를 보면요. 카드 무단 결제 피해도 있었고요. 통관 번호를 이용해서 해외에서 상품을 사는 그런 상황도 있었다고 합니다. 뭐 물론 아직까지는 확인이 더 필요하겠지만요. 이런 것들 상황을 어떻게 봐야 됩니까?
■염흥열: 네. YTN이 초기에는 약 4천여 건의 정보가 유출됐다라고 발표를 한 적이 있고요. 현재 사실은 퇴직자인 개발자가 인증 토큰이라는 것을 인증 키로부터 만들어서요. 그 인증 토큰이 ‘만능 키’라고 이렇게 볼 수 있고 인증 토큰은 그 인증 만능 키로부터 만들어진 새로운 비밀번호라고 이렇게 생각할 수 있거든요. 그런데 만능 키가 있으면 모든 정보 시스템에 접근이 가능한 그런 구조로 현재 쿠팡이 이렇게 인증 구조가 만들어져 있는데요. 그런데 그게 한 5개월 정도 지속된 것 같습니다. 그러다 보니까 현재 쿠팡이 얘기한 대로 이 결제 정보나, 아니면 특히 중요한 게 우리 아이디하고 비밀번호 이용자는 많이 사용하고 있는데요. 그게 유출되면은 그런 정보를 계정 정보라고 얘기하는데 이게 쿠팡에 얘기하면 결제 정보하고 계정 정보는 유출되지 않았다라고 얘기했지만 초기에 아까 얘기했다시피 4천여 건이었는데 그게 지금은 3370만 명으로 확대되었고 그리고 현재 또 인증 키가 이렇게 여러 군데 5개월간 사용된 상황으로 봐서는 그게 곧이곧대로 믿을 수가 없는 상황입니다. 그래서 조금 걱정이 많이 되는 상황이라고 볼 수 있습니다.
□조태현: 곧이곧대로 믿을 수 없는 상황 하나 더 있는 것 같습니다. 로그인 기록에서 해외 로그인 흔적이 발견됐다 라는 제보들이 굉장히 많은데 쿠팡에서는 일단 무관하다 라고 주장을 하고 있어요. 정말 무관한 겁니까?
■염흥열: 이게 지금 사실은 아시다시피 민관 합동조사단이 구성이 됐습니다. 민간합동조사단이 긴급하게 조사를 해야 될 부분인데요. 로그인 정보가 해외에서부터 무단으로 이렇게 접근이 됐다면 로그인이 됐다면은 두 가지 상황입니다. 하나는 누군가가 내 아이디하고 비밀번호를 이용해서 로그인을 했거나, 아니면 무단으로 로그인을 했거나, 아니면 자기가 혹시 이렇게 로그인을 했는데 쿠팡의 정보 시스템이 뭔가 기록을 잘못해서 해외로 된 IP 주소가 이렇게 기록으로 남게 되는 그런 상황을 가정할 수가 있습니다. 사실은 정보 시스템이라는 게 그렇게 잘못해서 다른 정보가 이렇게 로그인으로 로그 데이터로 남기가 쉽지 않은 경우라서 현재 많은 사람들이 이번에 유출된 정보가 로그인 정보, 계정 정보가 포함돼 있어서 누군가가 불법적으로 내 쿠팡의 계정에 접근하지 않았나라고 의심하고 있는 상황입니다. 그래서 이 부분에 대해서도 사실은 지금 두 가지 정보 아까 말씀하셨는데 신용카드가 뜬 결제 정보하고 지금 로그인 정보. 로그인 정보가 뜬 계정 정보. 아이디하고 패스워드 같은 계정 정보가 유출이 되면 그거는 지금 있는 정보의 유출 피해나 이런 것보다는 훨씬 더 큰 파급 효과를 가질 것으로 그렇게 생각합니다.
□조태현: 알겠습니다. 일단 쿠팡 쪽에서는 유출 정보에는 그런 내용들은 포함되지 않았다라고 이야기를 했는데 일단은 쿠팡 쪽이 별로 신뢰를 받지 못하고 있기 때문에 아직까지는 상황을 조금 더 지켜봐야 될 것 같습니다. 쿠팡에서 유출된 개인 정보가 3천만 건이 넘습니다. 계속해서 지금 말씀을 해 주시는 게 로그인 서명키라든지 이런 말씀을 해 주시고 계시는데요. 일단 이 서명키라는 게 뭡니까?
■염흥열: 통상적으로 저희들이 뭐 우리 국민들이 많이 웹사이트에 이렇게 로그인할 때요. 아이디하고 비밀번호를 입력해서 자기가 인증 받고 해당 웹사이트에 로그인이 됩니다. 그런데 쿠팡의 시스템은 약간 다른데요. 보통은 인증 토큰이라는 것을 활용하는데 이거는 조금 암호학적으로 좀 저기 용어지만 일종의 일회용 키라고 이렇게 볼 수 있습니다. 그래서 예를 들어서 호텔에서 이렇게 들어가서 신분증을 보여주고 그러면 호텔 담당 데스크가 뭐죠? 한 며칠이면 묵는 동안만 이렇게 사용할 수 있는 키를 발행해 주잖아요? 그래서 그런 것들이 있다고 얘기하고요. 그리고 또 인증 토큰을 발행하기 위한 만능키 역할을 하는 게 인증 개인 키라고 얘기합니다. 그러면 통상적으로 인증 토큰은 디지털 서명문입니다. 우리가 왜 그 공인인증서 사용할 때 있잖아요? 로그인하는 과정에서 공인인증서가 그 안에 개인 키가 들어가 있거든요. 그게 인증키라고 얘기하고요. 그다음에 아까 얘기했듯이 공인인증서부로부터 계속 뭔가 서명문이 만들어지는데 그 서명문을 인증 토큰이라고 얘기합니다. 그런데 이 쿠팡의 정보 시스템은 그 인증 토큰 서명문이 유효한지, 유효하지 않은지를 판단해서 아 이게 정당한 사용자다 아니면 로그인 들어와서 자기 정보에 접근할 수 있는 권한이 있는 이용자다 라고 판단합니다. 그러니까 지금 현재 퇴직한 개발자가 5개월 동안에 인증 키에 접근하고 그거에 맞는 키를 이용해서 여러 번 다수로 인증 키를 생성하고 그리고 그거를 이 서버에 데이터베이스에 이렇게 보여줘서 해당 데이터베이스에 접근하고 거기서 그 데이터를 다운로드하는 그런 구조로 이렇게 돼 있습니다. 그래서 이게 조금 암호학적 개념이 들어가 있지만 실제로는 아주 우리가 현재 공인인증서를 웹사이트에서 사용하듯이 그런 구조로 이해하면 될 것 같습니다.
□조태현: 그런데요 공인인증서도 그렇고요. 제가 지금 당장 회사를 그만두면 저는 회사에 있는 보도 정보 시스템에 접속할 권한이 즉시 사라지거든요? 그런데 이 사람은 퇴사하고 나서도 5개월 동안이나 이걸 썼다는 거 아니에요? 이거 관리에 문제 있는 거 아닙니까?
■염흥열: 그거는 두 가지 측면이 있습니다. 하나는 그 사람이 개발자여서 내부 시스템에 접근할 때 문제는 그런 개발자이기 때문에 실제로 운영 환경에서 이용되는 비밀 키 역할을 하는 인증키에 접근하면 안 됩니다. 그거는 아까 얘기했다시피 인증키를 접근하게 되면 이 일회용 키 인증을 생성할 수가 있어서 그래서 그렇게 보통은 개발 환경하고 그 운영 환경을 구분하라 라고 이렇게 얘기하고 있습니다.그래서 개발 환경 때는 다른 키를 사용하고 시스템을 시험해 보고 있다가 그러다가 실제로 그 개발이 다 끝나고 나면은 그걸 운영 환경으로 바꿔서 테스트하라 라고 이렇게 하고 있습니다. 이게 개발 환경하고 운영 환경이 구분이 안 된 경우고요. 두 번째는 이 사람이 직원으로 있다가 퇴직을 했지 않습니까? 퇴직하면 그 사람이 가지고 있는 모든 계정이랄지 계정을 말소하고요. 그다음에 그 사람이 가지고 있는 접근 권한이랄지 이런 것들을 전부 다가 없애야 됩니다. 그런데 그걸 아까 앵커님도 얘기했다시피 5개월 동안에 문제는 또 이게 해서 접근하는 거 이런 것까지를 또 이렇게 이 모니터링 하지 못하는 이상 징후 항상 우리가 뭔가 로그인을 할 때마다 로그 데이터가 남고요. 그러면 만약에 그걸 계속 모니터링 할 수 있다면은 이게 해외에서 로그인이 돼 있는데 이 사람이 지금 언제 5개월 전에 퇴직을 했는데 어떻게 이 사람이 접근하지? 라는 그런 모니터링 체계를 가지고 있습니다. 그런데 그 모니터링 체계도 적절하게 작동하지 않은 세 가지 사항의 내부자의 보안, 관리 두 번째는 퇴직자의 보안, 관리 그리고 그런 것들이 혹시 이상 행위가 발생할 수 있으면 그거 갖다가 계속 모니터링 해야 되는데 그런 모니터링 체계가 구축하지 않아서 발생한 정보 유출 사고로 이렇게 보여집니다.
□조태현: 쉽게 정리하자면 뭐 하나 제대로 작동된 게 없다? 이렇게 요약도 할 수 있을 것 같은데요. 하나 더 살펴볼 게 이 부분 아닌가 싶습니다. 이 퇴직한 개발자라는 사람 중국인 국적 중국 국적의 개발자예요. 지금 쿠팡의 개발 인력 가운데 절반이 중국인과 인도 국적이다.. 이게 뭐 인종 갈등이라든지 이런 국적 논란으로 가면 안 되겠지만 그래도 우리가 관심을 갖는 거는 중국 쪽에서 굉장히 우리 개인 정보 같은 것들이 유출된 사고가 많기 때문이거든요. 이런 구조 괜찮습니까?
■염흥열: 그 부분이 또 새로운 문제가 되고 있는데 쿠팡은 제가 보기에는 글로벌 회사고요. 우리나라에서 비즈니스 활동을 하고 있는 미국 나스닥에 등록돼 있는 글로벌 회사고요. 글로벌 회사들이 많이 사용하는 게 요즘 중국의 ICT 인력의 자질이 굉장히 높아졌습니다. 그리고 마찬가지로 인도의 ICT 인력들의 자질이 높아졌고요. 그래서 거기 있는 그런 우리 한국에 있는 개발자를 이렇게 활용해서 하면 예를 들어서 신원 조회가 엄격히 될 수가 있어야 됩니다. 그런데 개발자가 다국적화가 되다 보니까 이 사람에 대한 채용할 때 이 신원 조회 같은 것들을 우리 같은 경우는 엄격하게 해서 그래서 개발자에 투입을 하고 그다음에 사실은 그 개발하는 과정에서 혹시 이 사람이 아까 중요한 사항은 이 개발 환경에만 접근을 해야 되는데 문제는 운영 환경에 이렇게 접근하다 보니까 그게 정보 유출로 최종적으로 연결되는 그런 상황입니다. 그래서 이 채용하는 순간에 이 신원조회 같은 것들을 강화할 필요성이 있고요. 그리고 모든 이런 정보 시스템에 대해서 해킹하고 있다고 알려져 있었어요. 그래서 물론 중국은 이렇게 법이든가 이게 있어서 중국으로 만약 어떤 데이터가 우리 중국 내에 있는 회사들이 어떤 데이터를 이렇게 수집하고 그다음에 국가 안보라는 어떤 이유에 따라서 데이터 보호법에 근거해서 해당 정보를 중국 당국에 제출하라 라는 요구하는 그런 법이 있는 것은 사실입니다. 그러다 보니까 이 두 가지 이슈가 다 겹치는 것 같습니다. 하나는 중국 개발자라는 이슈도 있고 그리고 또 다른 하나는 그 개발자가 현재 중국에 있을 것으로 추정하고 있고 그럼 그 개발자가 현재 3370만 명의 고객 정보를 가지고 있어서 그게 중국에 있다는 것도 또 특별한 상황이고요. 그래서 이에 대한 우려가 많이 되고 있는 상황이긴 합니다. 그렇지만 아까 앵커님도 얘기했다시피 이 글로벌 회사들은 되게 다국적인 직원들을 채용하는 향이 있어서 그런 문제로 이렇게 확대되는 것은 조금 저는 경계하고 있습니다.
□조태현: 알겠습니다. 그런데요 그럼에도 불구하고 중국발 IP 주소가 검색 기록에서 여러 차례 나타났다라고 하는데 그렇다면 이게 중국 쪽의 범죄 조직이라든지 이런 쪽에 실제로 어떤 연루됐다 이런 근거도 될 수 있는 겁니까?
■염흥열: 네. 그것도 역시 제가 민관 합동조사단의 영역이지만 만약에 아까 얘기했다시피 본인이 이거는 가정을 하는 상황입니다. 본인이 로그인하지 않았는데 자기가 해외에 나가지 않았는데 그게 로그인이 됐다면은 항상 우리 정보 시스템의 모든 활동들을 로그 데이터로 남기고 있습니다. 그러면 거기에 IP 주소가 이렇게 남아 있는 경우고요. 그럼 그게 IP 주소가 중국 IP 주소였다면은 이 쿠팡이 현재 가지고 있는 내가 사용하고 있는 계정 정보가 이번에 또 혹시 유출에 의해서 누군가가 그 정보를 이용해서 중국에서 접근하고 있다 라고 의심할 수가 있습니다. 현재 쿠팡은 계정 정보하고 그 신용정보, 결제 정보 이런 것들은 유출되지 않았다고 얘기하지만 국민의 우려가 지금 큰 상황입니다. 사실은 그래서 이 부분에 대해서는 국민들이 스스로 만약에 그런 징후를 발생하게 되면 자기가 항상 데이터를 볼 수가 있거든요? 이게 누가 어디서 이렇게 로그인하고 있다는 것을 이렇게 확인할 수 있기 때문에 거기에 자기가 본인이 로그인이지 않은 상황에서 누군가 로그인이 돼 있고 거기에 IP 주소가 혹시 중국이나 해외라면은 해당 계정에 대해서 비밀번호를 수정하고 예를 들어서 그 카드 정보 같은 것들이 있잖아요? 이런 것들을 이렇게 비밀번호 같은 것을 바꾸거나 이렇게 해서 스스로 국민의 자기의 정보를 지킬 선제적인 조치를 취할 필요도 있겠다 라고 생각합니다.
□조태현: 그렇다면 지금 상황에서요. 정보가 여러 차례 중국으로 넘어가 있다면? 교수님께서 보시기에는 가장 걱정되고 가장 위험하다고 보시는 게 어떤 겁니까?
■염흥열: 네. 통상적으로 개인 정보가 유출한 사람은 결국은 돈을 목적으로 하거나 또 다른 목적으로 할 겁니다. 그러면 그걸 어떻게 하냐면 다크넷 같은 데다 이렇게 내다 파는 경향이 있습니다. 그럼 우리가 가장 해야 될 것은 뭐냐 하면은 혹시 이번에 유출된 쿠팡의 정보가 혹시 다크 앱에서 거래되는지를 모니터링 할 필요가 있습니다. 그래서 그게 진짜 이렇게 거래되고 있다면은 추가적인 유출된 정보가 확산되는 조짐이 나타나고 있고 나타날 가능성이 있거든요. 그래서 이 부분에 대해서 이렇게 이 모니터링 체계를 강화할 필요가 있고 그거는 쿠팡이나 아니면 개인 정보보호위원회에서도 현재 자기 뭐 이런 서비스를 제공하고 있으니까 이렇게 정보 주체 입장에서는 이용자 입장에서는 그 서비스를 활용하는 경우도 있고요. 두 번째는 정부하고 우리가 민간 차원의 이렇게 협력 체계가 구축돼 있습니다. 그래서 모든 수단을 강구해서 현재 개발자였던 이 퇴직자가 현재 유출한 정보가 추가적으로 확산되는 거래가 되거나 아니면 다른 사람한테 넘겨지는 그런 것을 막기 위한 여러 다각적인 활동이 필요한 시점이다 라고 이렇게 생각할 수 있습니다.
□조태현: 알겠습니다. 지금까지 염흥열 순천향대 정보보안학과 명예교수와 함께 했습니다. 오늘 말씀 고맙습니다.
■염흥열: 네 감사합니다.
YTN 김양원 (kimyw@ytnradio.kr)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
■ 진행 : 조태현 기자
■ 방송일 : 2025년 12월 05일 금요일
■ 대담 : 염흥열 순천향대 정보보호학과 명예교수
- 쿠팡 퇴직 개발자 사용한 '인증 토큰', 사실상 '만능 키'..카드 등 결제정보 미유출 쿠팡 주장에도 곧이곧대로 믿기 힘든 상황
- 쿠팡 계정 해외 로그인 흔적? 현재 개인정보 유출 피해보다 훨씬 더 큰 파급력
- 쿠팡 전직 개발자 인증 토큰 사용의 문제점, 개발 vs 운영환경 분리해야 하는데 쿠팡은 그렇지 못한 것
- 쿠팡, 내부자 보안 퇴지자 보안 사후 모니터링 모두 문제..뭐 하나 제대로 작동된 게 없어
- 중국, 데이터보호법에 근거, 중국 내 회사들이 수집한 정보, 중국 당국에 제출하는 규정 있는 게 사실
- '중국인' 개발자, 쿠팡 개인정보 빼내 '중국'에서 갖고 있다? 매우 특별한 상황
- 중국발 IP주소 검색기록, 민관합동조사단에서 조사 중..우려가 큰 상황
- 유출된 개인정부, 중국내 거래된다면? 다크웹 거래될 가능성이 가장 우려돼..정부 개인 모두 모든 수단 강구해 확산 막아야
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
□조태현: 국회 방송미디어통신위원회가 계정 탈퇴 절차를 매우 어렵게 해놓은 쿠팡에 대해서 긴급 사실 조사에 나섰습니다. 쿠팡의 대규모 개인정보 유출 논란이 굉장히 확대되고 있습니다. 쿠팡 측에서는 카드 결제 정보들은 유출되지 않았다 라고 계속 주장을 하고 있죠. 그런데 지금 돌아가는 상황을 보면 이게 진짜 맞는 얘기인가, 솔직하게 이야기를 하고 있는 건가... 굉장히 의심이 되는 일들이 벌어지고 있습니다. 소비자들만 대혼란을 겪을 수밖에 없겠죠. 그래서 전문가와 함께 자세한 이야기 나눠보도록 하겠습니다. 염흥열 순천향대 정보보호학과 교수와 함께 하겠습니다. 교수님 나와 계십니까?
■염흥열: 네. 안녕하세요.
□조태현: 많은 분들이 지금 분노도 하시고, 당황도 하시고 이런 것 같아요. 그런데 탈퇴를 하고 싶다고 생각을 했는데, 이 탈퇴가 너무 어렵다 그래서 포기했다 라는 이야기도 나옵니다. 국회에서 사실 조사에 들어갔다는 거죠?
■염흥열: 네 그렇습니다. 원래 통상적으로 웹사이트들이 가입은 굉장히 편하게 하면서도 사실은 이 탈퇴하는 과정을 굉장히 어렵게, 복잡하게 만들어서 탈퇴를 저지하게 만드는 그런 경향이 있습니다. 쿠팡도 마찬가지입니다.
□조태현: 국회 지적을 보면 쿠팡 탈퇴를 위해서는 약관 동의 해지, 쿠팡페이 해지, 주문 기록 삭제, 여러 가지 절차들이 있어서 최대 20단계까지 있었다고 하니까요. 이거는 나가지 말라는 강요나 다름없다고도 볼 수 있을 것 같습니다. 쿠팡 측에서는 계속 결제 정보, 그리고 통관 번호 이런 것들은 유출이 되지 않았다 라고 이야기를 하고 있거든요? 그런데 저희 YTN에서 보도를 보면요. 카드 무단 결제 피해도 있었고요. 통관 번호를 이용해서 해외에서 상품을 사는 그런 상황도 있었다고 합니다. 뭐 물론 아직까지는 확인이 더 필요하겠지만요. 이런 것들 상황을 어떻게 봐야 됩니까?
■염흥열: 네. YTN이 초기에는 약 4천여 건의 정보가 유출됐다라고 발표를 한 적이 있고요. 현재 사실은 퇴직자인 개발자가 인증 토큰이라는 것을 인증 키로부터 만들어서요. 그 인증 토큰이 ‘만능 키’라고 이렇게 볼 수 있고 인증 토큰은 그 인증 만능 키로부터 만들어진 새로운 비밀번호라고 이렇게 생각할 수 있거든요. 그런데 만능 키가 있으면 모든 정보 시스템에 접근이 가능한 그런 구조로 현재 쿠팡이 이렇게 인증 구조가 만들어져 있는데요. 그런데 그게 한 5개월 정도 지속된 것 같습니다. 그러다 보니까 현재 쿠팡이 얘기한 대로 이 결제 정보나, 아니면 특히 중요한 게 우리 아이디하고 비밀번호 이용자는 많이 사용하고 있는데요. 그게 유출되면은 그런 정보를 계정 정보라고 얘기하는데 이게 쿠팡에 얘기하면 결제 정보하고 계정 정보는 유출되지 않았다라고 얘기했지만 초기에 아까 얘기했다시피 4천여 건이었는데 그게 지금은 3370만 명으로 확대되었고 그리고 현재 또 인증 키가 이렇게 여러 군데 5개월간 사용된 상황으로 봐서는 그게 곧이곧대로 믿을 수가 없는 상황입니다. 그래서 조금 걱정이 많이 되는 상황이라고 볼 수 있습니다.
□조태현: 곧이곧대로 믿을 수 없는 상황 하나 더 있는 것 같습니다. 로그인 기록에서 해외 로그인 흔적이 발견됐다 라는 제보들이 굉장히 많은데 쿠팡에서는 일단 무관하다 라고 주장을 하고 있어요. 정말 무관한 겁니까?
■염흥열: 이게 지금 사실은 아시다시피 민관 합동조사단이 구성이 됐습니다. 민간합동조사단이 긴급하게 조사를 해야 될 부분인데요. 로그인 정보가 해외에서부터 무단으로 이렇게 접근이 됐다면 로그인이 됐다면은 두 가지 상황입니다. 하나는 누군가가 내 아이디하고 비밀번호를 이용해서 로그인을 했거나, 아니면 무단으로 로그인을 했거나, 아니면 자기가 혹시 이렇게 로그인을 했는데 쿠팡의 정보 시스템이 뭔가 기록을 잘못해서 해외로 된 IP 주소가 이렇게 기록으로 남게 되는 그런 상황을 가정할 수가 있습니다. 사실은 정보 시스템이라는 게 그렇게 잘못해서 다른 정보가 이렇게 로그인으로 로그 데이터로 남기가 쉽지 않은 경우라서 현재 많은 사람들이 이번에 유출된 정보가 로그인 정보, 계정 정보가 포함돼 있어서 누군가가 불법적으로 내 쿠팡의 계정에 접근하지 않았나라고 의심하고 있는 상황입니다. 그래서 이 부분에 대해서도 사실은 지금 두 가지 정보 아까 말씀하셨는데 신용카드가 뜬 결제 정보하고 지금 로그인 정보. 로그인 정보가 뜬 계정 정보. 아이디하고 패스워드 같은 계정 정보가 유출이 되면 그거는 지금 있는 정보의 유출 피해나 이런 것보다는 훨씬 더 큰 파급 효과를 가질 것으로 그렇게 생각합니다.
□조태현: 알겠습니다. 일단 쿠팡 쪽에서는 유출 정보에는 그런 내용들은 포함되지 않았다라고 이야기를 했는데 일단은 쿠팡 쪽이 별로 신뢰를 받지 못하고 있기 때문에 아직까지는 상황을 조금 더 지켜봐야 될 것 같습니다. 쿠팡에서 유출된 개인 정보가 3천만 건이 넘습니다. 계속해서 지금 말씀을 해 주시는 게 로그인 서명키라든지 이런 말씀을 해 주시고 계시는데요. 일단 이 서명키라는 게 뭡니까?
■염흥열: 통상적으로 저희들이 뭐 우리 국민들이 많이 웹사이트에 이렇게 로그인할 때요. 아이디하고 비밀번호를 입력해서 자기가 인증 받고 해당 웹사이트에 로그인이 됩니다. 그런데 쿠팡의 시스템은 약간 다른데요. 보통은 인증 토큰이라는 것을 활용하는데 이거는 조금 암호학적으로 좀 저기 용어지만 일종의 일회용 키라고 이렇게 볼 수 있습니다. 그래서 예를 들어서 호텔에서 이렇게 들어가서 신분증을 보여주고 그러면 호텔 담당 데스크가 뭐죠? 한 며칠이면 묵는 동안만 이렇게 사용할 수 있는 키를 발행해 주잖아요? 그래서 그런 것들이 있다고 얘기하고요. 그리고 또 인증 토큰을 발행하기 위한 만능키 역할을 하는 게 인증 개인 키라고 얘기합니다. 그러면 통상적으로 인증 토큰은 디지털 서명문입니다. 우리가 왜 그 공인인증서 사용할 때 있잖아요? 로그인하는 과정에서 공인인증서가 그 안에 개인 키가 들어가 있거든요. 그게 인증키라고 얘기하고요. 그다음에 아까 얘기했듯이 공인인증서부로부터 계속 뭔가 서명문이 만들어지는데 그 서명문을 인증 토큰이라고 얘기합니다. 그런데 이 쿠팡의 정보 시스템은 그 인증 토큰 서명문이 유효한지, 유효하지 않은지를 판단해서 아 이게 정당한 사용자다 아니면 로그인 들어와서 자기 정보에 접근할 수 있는 권한이 있는 이용자다 라고 판단합니다. 그러니까 지금 현재 퇴직한 개발자가 5개월 동안에 인증 키에 접근하고 그거에 맞는 키를 이용해서 여러 번 다수로 인증 키를 생성하고 그리고 그거를 이 서버에 데이터베이스에 이렇게 보여줘서 해당 데이터베이스에 접근하고 거기서 그 데이터를 다운로드하는 그런 구조로 이렇게 돼 있습니다. 그래서 이게 조금 암호학적 개념이 들어가 있지만 실제로는 아주 우리가 현재 공인인증서를 웹사이트에서 사용하듯이 그런 구조로 이해하면 될 것 같습니다.
□조태현: 그런데요 공인인증서도 그렇고요. 제가 지금 당장 회사를 그만두면 저는 회사에 있는 보도 정보 시스템에 접속할 권한이 즉시 사라지거든요? 그런데 이 사람은 퇴사하고 나서도 5개월 동안이나 이걸 썼다는 거 아니에요? 이거 관리에 문제 있는 거 아닙니까?
■염흥열: 그거는 두 가지 측면이 있습니다. 하나는 그 사람이 개발자여서 내부 시스템에 접근할 때 문제는 그런 개발자이기 때문에 실제로 운영 환경에서 이용되는 비밀 키 역할을 하는 인증키에 접근하면 안 됩니다. 그거는 아까 얘기했다시피 인증키를 접근하게 되면 이 일회용 키 인증을 생성할 수가 있어서 그래서 그렇게 보통은 개발 환경하고 그 운영 환경을 구분하라 라고 이렇게 얘기하고 있습니다.그래서 개발 환경 때는 다른 키를 사용하고 시스템을 시험해 보고 있다가 그러다가 실제로 그 개발이 다 끝나고 나면은 그걸 운영 환경으로 바꿔서 테스트하라 라고 이렇게 하고 있습니다. 이게 개발 환경하고 운영 환경이 구분이 안 된 경우고요. 두 번째는 이 사람이 직원으로 있다가 퇴직을 했지 않습니까? 퇴직하면 그 사람이 가지고 있는 모든 계정이랄지 계정을 말소하고요. 그다음에 그 사람이 가지고 있는 접근 권한이랄지 이런 것들을 전부 다가 없애야 됩니다. 그런데 그걸 아까 앵커님도 얘기했다시피 5개월 동안에 문제는 또 이게 해서 접근하는 거 이런 것까지를 또 이렇게 이 모니터링 하지 못하는 이상 징후 항상 우리가 뭔가 로그인을 할 때마다 로그 데이터가 남고요. 그러면 만약에 그걸 계속 모니터링 할 수 있다면은 이게 해외에서 로그인이 돼 있는데 이 사람이 지금 언제 5개월 전에 퇴직을 했는데 어떻게 이 사람이 접근하지? 라는 그런 모니터링 체계를 가지고 있습니다. 그런데 그 모니터링 체계도 적절하게 작동하지 않은 세 가지 사항의 내부자의 보안, 관리 두 번째는 퇴직자의 보안, 관리 그리고 그런 것들이 혹시 이상 행위가 발생할 수 있으면 그거 갖다가 계속 모니터링 해야 되는데 그런 모니터링 체계가 구축하지 않아서 발생한 정보 유출 사고로 이렇게 보여집니다.
□조태현: 쉽게 정리하자면 뭐 하나 제대로 작동된 게 없다? 이렇게 요약도 할 수 있을 것 같은데요. 하나 더 살펴볼 게 이 부분 아닌가 싶습니다. 이 퇴직한 개발자라는 사람 중국인 국적 중국 국적의 개발자예요. 지금 쿠팡의 개발 인력 가운데 절반이 중국인과 인도 국적이다.. 이게 뭐 인종 갈등이라든지 이런 국적 논란으로 가면 안 되겠지만 그래도 우리가 관심을 갖는 거는 중국 쪽에서 굉장히 우리 개인 정보 같은 것들이 유출된 사고가 많기 때문이거든요. 이런 구조 괜찮습니까?
■염흥열: 그 부분이 또 새로운 문제가 되고 있는데 쿠팡은 제가 보기에는 글로벌 회사고요. 우리나라에서 비즈니스 활동을 하고 있는 미국 나스닥에 등록돼 있는 글로벌 회사고요. 글로벌 회사들이 많이 사용하는 게 요즘 중국의 ICT 인력의 자질이 굉장히 높아졌습니다. 그리고 마찬가지로 인도의 ICT 인력들의 자질이 높아졌고요. 그래서 거기 있는 그런 우리 한국에 있는 개발자를 이렇게 활용해서 하면 예를 들어서 신원 조회가 엄격히 될 수가 있어야 됩니다. 그런데 개발자가 다국적화가 되다 보니까 이 사람에 대한 채용할 때 이 신원 조회 같은 것들을 우리 같은 경우는 엄격하게 해서 그래서 개발자에 투입을 하고 그다음에 사실은 그 개발하는 과정에서 혹시 이 사람이 아까 중요한 사항은 이 개발 환경에만 접근을 해야 되는데 문제는 운영 환경에 이렇게 접근하다 보니까 그게 정보 유출로 최종적으로 연결되는 그런 상황입니다. 그래서 이 채용하는 순간에 이 신원조회 같은 것들을 강화할 필요성이 있고요. 그리고 모든 이런 정보 시스템에 대해서 해킹하고 있다고 알려져 있었어요. 그래서 물론 중국은 이렇게 법이든가 이게 있어서 중국으로 만약 어떤 데이터가 우리 중국 내에 있는 회사들이 어떤 데이터를 이렇게 수집하고 그다음에 국가 안보라는 어떤 이유에 따라서 데이터 보호법에 근거해서 해당 정보를 중국 당국에 제출하라 라는 요구하는 그런 법이 있는 것은 사실입니다. 그러다 보니까 이 두 가지 이슈가 다 겹치는 것 같습니다. 하나는 중국 개발자라는 이슈도 있고 그리고 또 다른 하나는 그 개발자가 현재 중국에 있을 것으로 추정하고 있고 그럼 그 개발자가 현재 3370만 명의 고객 정보를 가지고 있어서 그게 중국에 있다는 것도 또 특별한 상황이고요. 그래서 이에 대한 우려가 많이 되고 있는 상황이긴 합니다. 그렇지만 아까 앵커님도 얘기했다시피 이 글로벌 회사들은 되게 다국적인 직원들을 채용하는 향이 있어서 그런 문제로 이렇게 확대되는 것은 조금 저는 경계하고 있습니다.
□조태현: 알겠습니다. 그런데요 그럼에도 불구하고 중국발 IP 주소가 검색 기록에서 여러 차례 나타났다라고 하는데 그렇다면 이게 중국 쪽의 범죄 조직이라든지 이런 쪽에 실제로 어떤 연루됐다 이런 근거도 될 수 있는 겁니까?
■염흥열: 네. 그것도 역시 제가 민관 합동조사단의 영역이지만 만약에 아까 얘기했다시피 본인이 이거는 가정을 하는 상황입니다. 본인이 로그인하지 않았는데 자기가 해외에 나가지 않았는데 그게 로그인이 됐다면은 항상 우리 정보 시스템의 모든 활동들을 로그 데이터로 남기고 있습니다. 그러면 거기에 IP 주소가 이렇게 남아 있는 경우고요. 그럼 그게 IP 주소가 중국 IP 주소였다면은 이 쿠팡이 현재 가지고 있는 내가 사용하고 있는 계정 정보가 이번에 또 혹시 유출에 의해서 누군가가 그 정보를 이용해서 중국에서 접근하고 있다 라고 의심할 수가 있습니다. 현재 쿠팡은 계정 정보하고 그 신용정보, 결제 정보 이런 것들은 유출되지 않았다고 얘기하지만 국민의 우려가 지금 큰 상황입니다. 사실은 그래서 이 부분에 대해서는 국민들이 스스로 만약에 그런 징후를 발생하게 되면 자기가 항상 데이터를 볼 수가 있거든요? 이게 누가 어디서 이렇게 로그인하고 있다는 것을 이렇게 확인할 수 있기 때문에 거기에 자기가 본인이 로그인이지 않은 상황에서 누군가 로그인이 돼 있고 거기에 IP 주소가 혹시 중국이나 해외라면은 해당 계정에 대해서 비밀번호를 수정하고 예를 들어서 그 카드 정보 같은 것들이 있잖아요? 이런 것들을 이렇게 비밀번호 같은 것을 바꾸거나 이렇게 해서 스스로 국민의 자기의 정보를 지킬 선제적인 조치를 취할 필요도 있겠다 라고 생각합니다.
□조태현: 그렇다면 지금 상황에서요. 정보가 여러 차례 중국으로 넘어가 있다면? 교수님께서 보시기에는 가장 걱정되고 가장 위험하다고 보시는 게 어떤 겁니까?
■염흥열: 네. 통상적으로 개인 정보가 유출한 사람은 결국은 돈을 목적으로 하거나 또 다른 목적으로 할 겁니다. 그러면 그걸 어떻게 하냐면 다크넷 같은 데다 이렇게 내다 파는 경향이 있습니다. 그럼 우리가 가장 해야 될 것은 뭐냐 하면은 혹시 이번에 유출된 쿠팡의 정보가 혹시 다크 앱에서 거래되는지를 모니터링 할 필요가 있습니다. 그래서 그게 진짜 이렇게 거래되고 있다면은 추가적인 유출된 정보가 확산되는 조짐이 나타나고 있고 나타날 가능성이 있거든요. 그래서 이 부분에 대해서 이렇게 이 모니터링 체계를 강화할 필요가 있고 그거는 쿠팡이나 아니면 개인 정보보호위원회에서도 현재 자기 뭐 이런 서비스를 제공하고 있으니까 이렇게 정보 주체 입장에서는 이용자 입장에서는 그 서비스를 활용하는 경우도 있고요. 두 번째는 정부하고 우리가 민간 차원의 이렇게 협력 체계가 구축돼 있습니다. 그래서 모든 수단을 강구해서 현재 개발자였던 이 퇴직자가 현재 유출한 정보가 추가적으로 확산되는 거래가 되거나 아니면 다른 사람한테 넘겨지는 그런 것을 막기 위한 여러 다각적인 활동이 필요한 시점이다 라고 이렇게 생각할 수 있습니다.
□조태현: 알겠습니다. 지금까지 염흥열 순천향대 정보보안학과 명예교수와 함께 했습니다. 오늘 말씀 고맙습니다.
■염흥열: 네 감사합니다.
YTN 김양원 (kimyw@ytnradio.kr)
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]