AD
■ 진행 : 이여진 앵커, 장원석 앵커
■ 출연 : 황석진 동국대 국제정보보호대학원 교수
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다. 인용 시 [YTN 뉴스PLUS] 명시해주시기 바랍니다.
[앵커]
초유의 쿠팡 정보 유출 사고로 아파트 공동 현관 비밀 번호, 개인 통관 번호까지 모두 새어나갔을 우려가 제기되고 있습니다. 이번 사고의 원인부터 추가 피해를 방지할 대책까지 황석진 동국대 국제정보보호대학원 교수와 짚어보겠습니다.
[앵커]
지금 국내 이커머스 1위 쿠팡에서 3370만 명분의 이름과 전화번호, 주소, 이메일, 일부 주문정보고 유출됐습니다.어마어마한 거잖아요.국내 성인 4명 중 3명꼴 아니겠습니까?
[황석진]
대부분 경제활동을 하는 모든 사람들의 정보가 다 탈취당했다고 볼 수 있는데요.제일 중요한 건 지금까지 올해 4월에 SKT 사고가 있었지 않습니까?그때 당시에도 2500만 건 정도가 탈취당했는데 여기는 훨씬 더 규모가 큰 정보유출 사고라고 이렇게 표현할 수 있을 것 같습니다.
[앵커]
특이한 점은, 우리가 공동주택 현관 비밀번호라든지 개인 통관번호까지 유출된 것 아니냐 물어봤더니 쿠팡은 지금 조사 중이라서 제대로 밝힐 수가 없다고 얘기했거든요.구체적으로 어떤 수준까지 정보가 유출됐을까요?
[황석진]
일단 아까 말씀하신 것처럼 주문에 필요한, 배송에 필요한 정보를 다 갖고 갔다고 볼 수 있는데요.다만 집에 사람들이 매일매일 없으니까 공동 현관 비밀번호를 입력하게 만드는 경우도 상당히 많거든요.아니면 해외에서 직접적으로 물건을 공수해올 경우에는 해외 통관부호라든가 이런 부분도 필요하기 때문에 그런 부분까지 다 입력하게 해놨어요.그런데 해커가 실질적으로 그런 정보까지 모두 다 수집한 다음에 그 정보를 악용했던 사례라고 볼 수가 있는 것이죠.
[앵커]
이게 사건이 발생한 게 6월 24일인데 쿠팡 측에서 인지한 게 11월 18일이었거든요. 게다가 쿠팡이 11월 18일에는 4500개가 해킹이 됐다, 이렇게 했는데. 알고 봤더니 3370만 개가 확인된 거잖아요.어떻게 된 겁니까?
[황석진]
보통 데이터를 외부에서 해킹해서 가지고 나간다고 하면 양이라든가 트래픽건수라든지 이런 것들까지 모니터링하는 시스템이 대부분 다 있어요.아마 제가 봤을 때는 그 날짜에 공교롭게도 그 시간대에 대량의 정보를 갖고 나갔고 그리고 확인해 보니까 7000건 정도 돼서 그런 부분을 신고했는데 종합적으로 특정 IP라든가 이런 부분을 다 점검했겠죠. 그러다 보니까 4000건만 있는 것이 아니라 상당히 오래전부터 여러 해에 걸쳐서 상당히 많은 양을 탈취한 것이고 그걸 종합적으로 보니까 3370만 건이라는 이 수치가 나온 것으로 확인됐습니다.
[앵커]
일단 5개월 동안 몰랐다는 것도 놀랐고, 지금 결제정보와 로그인정보는 유출되지 않았다는 게 쿠팡 측의 설명인데 이거 믿을 수 있는 겁니까?
[황석진]
일단은 주장을 그렇게 하니까 그렇게 믿을 수 뿐이 없는 상황인데 솔직히 결제정보가 나가지 않았다고 해서 안전하다? 이렇게 볼 수는 없어요.왜냐하면 고객의 성명이라든가 전화번호, 이메일 주소, 거기다가 공동현관 비밀번호까지 다 나갔고 그리고 또 자기가 로그인하지 않더라도 자기 가족이라든가 지인에게 생필품을 보낼 수 있는 이런 부분이 있잖아요.그러면 자기가 아는 지인의 성명이라든가 전화번호, 집 주소까지 다 나가 있는 이런 상황이기 때문에 단순하게 결제정보가 나가지 않았기 때문에 안전하다, 이건 말이 안 되는 것이고. 개인의 생활밀착형 정보가 모두 다 유출됐다고 볼 수밖에 없는 환경인 겁니다.
[앵커]
그러면 지금 쿠팡이 공식적으로 밝힌 정보들, 그것들이 유출됐을 때 고객들이 입을 수 있는 2차 피해는 뭐가 있겠습니까?
[황석진]
일단 결제정보가 같이 나갔다고 그러면 쿠팡 사이트에서 결제가 이루어지고 다른 이커머스 사이트에서 결제가 이루어질 가능성도 있지만 그런 정보가 없다고 해도 회원의 성명, 전화번호, 그리고 주소 이것만 갖고 타게팅이라고 할 수 있는 보이스피싱이라든가 피싱 이런 부분이 가능한 거예요.그리고 특히 요즘에는 AI 기술이 상당히 뛰어나기 때문에 딥보이스라든가 딥페이크 이런 AI 기술을 악용해서 영상통화를 하는데 마치 그 사람인 것처럼 꾸며서 할 수 있는 것이고요.그리고 만약에 자기가 입력을 그 사람의 성명하고 전화번호를 입력하게 되면 다른 카카오톡이라든가 이런 데 친구 추가하기 이런 부분이 뜨지 않습니까?그러면 거기에 프로필사진 이런 부분도 있잖아요.그러면 그 프로필사진을 보고 똑같이 딥페이크 기술을 이용해서 사람의 얼굴을 만든다든가 또 어떤 음란사이트에 연결해서 합성해서 주변 사람들에게 뿌릴 수 있다든가 여러 가지 범죄가 발생할 가능성이 상당히 있는 겁니다.
[앵커]
범죄단체로 만약에 이런 정보들이 팔리게 된다면 이름뿐만 아니라 전화번호랑 주소까지 알고 있기 때문에 스토킹 범죄로도 이어질 수 있다, 이런 분석도 있더라고요.
[황석진]
그런 우려도 적지 않은 곳에서 계속 많이 말씀을 하시는데요.거기다가 공동현관 비밀번호까지 한다고 하면 언제든지 문 열고 들어가서 집 앞에서 계속 서성일 수도 있는 것이고 그리고 대량의 정보이기 때문에 그 정보에는 특정한 연령층에 있는 여성분이라든가 아니면 취약계층에 있는 사람을 노려서 직접 스토킹범죄를 한다든가 아니면 협박성 메일을 보낸다든가 이런 부분 모두가 다 가능하다고 볼 수 있는 것이죠.
[앵커]
그러면 원인 좀 짚어보죠. 쿠팡은 그전에도 정보 유출이 된 적이 있었기 때문에 과징금을 부과받은 적이 있잖아요.왜 또 이런 일이 발생했을까요?
[황석진]
아무래도 여러 가지 정황을 쭉 보니까 일련에 투자하는 정보 보안에 대한 비용이 한 900억 원 가까이 투자를 계속하고 있다고 그래요.그런데 이런 부분은 어떤 시설이라든가 장비, 그리고 인력에 대한 부분에 대한 부분은 투자를 아끼지 않고 계속하고 있는 것 같은데 다만 과거에도 발생했던 부분이 거의 대부분 내부직원의 관리부실에 대한 이슈로 계속 발생하는 경우가 상당히 많았거든요.그래서 이번 사건도 어떻게 보면 정보보안에 투자하는 비용이 문제가 아니라 내부통제, 관리부실 여기에 대한 포커싱이 상당히 많이 맞춰져 있는 것이죠. 그러다 보니까 내부에서 어떤 직원들에 대한 보안의식이라든가 그리고 실질적으로 관리할 수 있는 인력 이런 부분이 종합적으로 부족한 부분이 있지 않았나 이런 판단을 할 수 있을 겁니다.
[앵커]
그러니까 지금 쿠팡에서 개인정보유출사고가 네 번째 일어났는데 이게 다 외부 해킹이 아니라 내부 관리를 잘 못해서 일어난 일인데 어떻게 4번씩이나 이런 일이 일어났는지 궁금하고 어떤 경로로 유출된 건지 설명해 주시겠습니까?
[황석진]
기존에는 직원의 부주의라든가 이번에도 보면 노출이나 유출이나 이런 표현을 쓰지 않습니까?그러니까 접근권한이 없는 사람이 접근해서 그런 정보를 열람한다든가 다운한다든가 이게 비인가 접근이라고 표현할 수가 있는데 그런 부분이 상당히 많았다는 거죠. 그리고 이번에도 네 번째인데 기존 대부분이 다 직원들의 실수라든가 악의적인 마음을 갖고 했던 경우가 상당히 있는데 이번 건 같은 경우에는 원래 근무했던 직원이 해고에 앙심을 품고 해외에 가서 접근해서 대량의 정보를 거의 수시로 계속 빼간 것 같아요.그러니까 맨 처음에 4000건 정도 이렇게 얘기했지만 나중에 알고 보니까 3370만 건이나 어마어마한 정보가 유출된 것으로 확인되지 않았습니까?그렇다 보니까 아마 작심하고 계속 정보를 탈취하지 않았나 이런 판단이 듭니다.
[앵커]
지금까지 알려진 것을 보면 중국인 국적의 퇴사자가 중국으로 가서 거기에서 정보를 빼낸 것으로 알려진 거거든요.이게 어떻게 가능했을까요?
[황석진]
아무래도 중국인 근로자라고 하는데 그 사람이 정말 맞는지 안 맞는지는 아직 경찰수사가 진행 중이기 때문에 확정할 수는 없는 상황인데 다만 그 사람이 했던 일이 인증키 모듈을 생성하는 역할을 담당했던 직원이라고 해요. 우리가 이 사건의 기본이 되는 게 뭐냐 하면 인증키하고 사인키라는 것이 있거든요.쉽게 얘기하면 접근할 수 있는 권한을 일회용 신분증처럼 계속 만들어주는 게 인증키입니까?그리고 신분증이 진짜하는 걸 확인해 주는 게 하나의 액세스 토큰이라고 할 수 있는데 그런 것을 직접적으로 생성했던 그 일에 직접적으로 관여했던 직원이기 때문에 외부에서도 실질적으로 우회해서 접근해서 인증키를 계속 생성한 다음에 그 인증키를 바탕으로 해서 접근해서 정보를 탈취한 것으로 그렇게 추정되고 있습니다.
[앵커]
저희가 일반직원들도 회사에서 퇴사를 하면 출입증은 물론이고 아이디까지 다 반납을 하지 않습니까?이렇게 중요한 일을 하는 사람이 퇴사했는데 왜 그걸 그대로 놔둔 건가요?
[황석진]
인증키에 대한 유효기간이 5년, 여러 가지 계속 얘기가 나오는데 제일 중요한 건 퇴사자에 대한 관리 자체가 상당히 적절하지 않았다는 부분을 먼저 꼽을 수 있는데요. 먼저 퇴사를 하게 되면 사원증이라든가 출입증, 아이디카드 이런 부분을 다 회수하고 그리고 그 사람이 갖고 있던 회사 내부에 접근할 수 있는 권한 자체를 다 회수한다든가 삭제한다든가 이렇게 조치가 돼야 되는데 그런 부분이 전혀 이루어지지 않았다는 거죠. 그리고 특히 외부에서 접근할 때 인가받지 않은 사람이 접근한다고 하면 차단한다든가, 그리고 만약에 접근해서 어떤 데이터를 열람했다든가 다운로드를 받았든가 그러면 얼롯을 띄워서 문제가 있다, 이런 부분을 줘야 되는데 여러 가지 총체적인 관리부실이 이런 사태를 키우지 않았나 이런 생각이 드는데. 원래 최초로 보면 퇴사자에 대한 접근 권한을 차단하고, 그리고 만약에 접근했으면 어떤 부분을 접근했는지 이런 부분에 대한 열람을 할 수 있게 해야 되고 그리고 정보를 갖고 갔으면 그런 정보를 더 이상 추가적으로 갖고 가지 못하게 막는다든가 그리고 거기에 대해서 어떤 액션을 취한다든가 조치를 취한다든가 이렇게 해야 되는데 그런 부분 세 가지가 종합적으로 좀 더 부족하지 않았나 이런 판단이 됩니다.
[앵커]
보안전문가로서 보시기에 지금 일개 직원의 양심에 맡길 문제가 아니라 시스템적으로 아예 차단할 수 있는 그런 방식을 도입해야 되는 것 아니냐 이런 지적이 있거든요.
[황석진]
그렇습니다.외국계 기업 같은 경우에는 휴가자 같은 경우에는 아예 메인서버에 접근을 못하게 막아버립니다.실제로 휴가 중이라 그래도 부하직원이 결재를 해달라고 하면 그 사람의 아이디를 가지고 결제를 할 수 있고 이렇게도 할 수 있잖아요.그런데 외국계 기업 같은 경우에는 휴가라는 근태가 들어오면 아예 차단을 해버리고 또 퇴사를 하게 되면 그 사람이 쓰던 메일까지 아예 계정을 날려버린다든가 삭제한다든가 하는 경우가 상당히 많거든요.그렇기 때문에 이번 기회에 어차피 사고는 발생했지만 어떻게 수습하느냐가 가장 중요한 부분인데, 재발방지를 위해서 퇴사자라든가 그리고 비인가자에 대한 접근 권한을 완전히 차단하고, 그리고 만약에 그게 접근이 됐다고 그러면 왜 접근이 됐는지에 대한 원인이규명을 정확히 해서 차후에는 비정상적인 접근을 차단할 수 있는 이런 시스템개발을 적극적으로 도입할 필요가 있다, 이렇게 보여집니다.
[앵커]
월간 활성 이용자 수가 3400명대, 거의 전 국민이 이용하고 있는 쿠팡에 중요한 핵심 IT전문담당 직원을 언제든 해외로 나갈 수 있는 외국인으로 고용하는 게 흔한 일입니까?
[황석진]
흔하지는 않고요.다만 여러 가지 이슈가 있었겠죠. 쿠팡 같은 경우에는 글로벌기업이고 본사가 미국에 있고 중국에도 지부가 있고 국내에도 지사가 쭉 있는데, 아마 전문적으로 그런 분야에 노하우를 갖고 있는 직원을 채용해서 쓰다 보니까 아마 특정한 나라에 있는 IT기술 인력을 끌어다가 쓴 것으로 보여지는데 아마 그건 회사에서 종합적으로 판단할 부분이기 때문에 접근권한이 있는 이런 부분의 직원들에 대해서는 보안의식도 좀 더 수준이 높아야 되고 그리고 접근 권한을 한 번에 다 주면 안 됩니다.만약에 접근할 수 있는 경로가 10개라고 그러면 각각 쪼 개서 조치를 해야 되고 그리고 서로가 모니터링 시스템을 가동시켜서 얘가 하루에 얼마나 접근하고 무엇을 했는지 이런 부분에 대한 모니터링을 해야지, 그렇지 않으면 어떤 식으로든지 데이터를 갖고 간다든가 이렇게 된다고 그러면 이슈가 발생할 소지가 상당히 있기 때문에 그런 부분을 철저히 감시라든가 이런 부분이 아니라 사고예방을 위해서 서로가 크로스 체크를 해서 모니터링체계를 좀 더 확실하게 할 필요가 있는 거죠.
[앵커]
그리고 또 독특한 점은 쿠팡이 국내에서 최고 권위로 인정받고 있는 ISMS-P, 이걸 취득했다는 것 아니에요?그러면 이 인증은 아까 말씀하신 내부 통제라든지 관리 부실 면에는 별로 방점을 안 두고 있나 보죠?
[황석진]
일단은 ISMS-P, ISMS 이런 식으로 계속 얘기하는데 정보보안관리체계에 대한 부분입니다.그런데 결정적인 문제는 뭐냐 하면 약간 형식적인 주의에 그치는 경우가 상당히 많아서 일정한 욕구만 맞으면 대부분 인증해 주는 경우가 많아요.그래서 직접적으로 해킹을 한다든가 아니면 실질적으로 여기가 정말 안전한지 아닌지 이런 부분이 부족한 부분이 있어서 아마 최근에 SKT 사태, 그리고 KT 사태, 롯데카드 사태, 여러 가지 보안 사고가 상당히 많았지 않았습니까? 그렇기 때문에 말씀하신 이런 부분도 좀 더 실사용으로 변경해서 접근을 해야 되지 않을까 지금 그렇게 보고 있습니다.
[앵커]
지금 쿠팡 이용객들은 개인정보 노출됐다고 일방적으로 통보만 하면 다냐면서 분통을 터뜨리고 있습니다.그리고 지금 집단소송 움직임이 일고 있는데 어떻게 해야 된다고 보십니까?
[황석진]
일단은 자기 정보는 과거에는 자기정보에 대해서 기업들이 알아서 잘 지켜주는 이런 일들이 상당히 많았어요.그런데 어느 순간부터 자기 정보를 맡겨놓고만 있을 수 없는 이런 환경이 돼버렸죠. 아마 올해 일련의 사태를 쭉 보면 여러 금융기관도 그렇고 통신사도 그렇고 심지어 이커머스 이쪽에서 정보가 유출됐기 때문에 자기 정보는 이미 여러 군데에서 노출이 돼 있다고 볼 수밖에 없는 부분이에요.그렇기 때문에 지금의 입장에서 보면 자기가 가지고 있는 정보를 좀 더 소중하게 관리하는 방법이 가장 중요한데요.일단 대형포털이라든가 통신사라든가 애플리케이션에 접근하는 아이디는 어쩔 수 없지만 비밀번호를 주기적으로 바꾸는 게 상당히 좋고, 그리고 소액결제라든가 인터넷 결제는 아예 안 쓰게끔, 애플리케이션으로 차단이 가능하거든요.왜냐하면 대부분이 다 신용카드 결제가 상당히 많기 때문에 신용카드 애플리케이션에 그런 결제 기능이 상당히 많이 있습니다.그래서 해외 결제도 차단하고 소액결제도 차단하고 그리고 인터넷 결제도 차단하는 부분이 상당히 중요하고 그리고 제일 중요한 것은 이번에 쿠팡 건을 빌미로 말씀드리면 아무래도 쿠팡을 사칭한 스미싱 문자가 상당히 많이 올 거예요. 예를 들면 쿠팡에서 정보 유출이 됐는데 네 정보로 인해서 비정상이 발생했는지 아닌지 확인해봐. 그리고 다른 개인정보를 더 요구할 수 있는 부분이고 아니면 쿠팡에서 이번 사태 때문에 너한테 보상금을 주려고 해. 그래서 거기에 대해서 실질적으로 보상금을 준다는 스미싱 문자가 올 수도 있는 부분이고, 그리고 말씀하신 대로 위자료에 대한 부분이 가장 이슈가 될 소지가 있는데요.지금은 형사적인 제재 말고 민사적으로 만약에 제재를 받는다고 하면 과징금, 과태료 그리고 징벌적 손해배상 이 세 가지를 쿠팡이 부담해야 되는 부분이 있는데 소송을 하지 않으면 정식적인 위자료, 특별손해에 대해서는 보상받기는 상당히 힘듭니다.우리가 2014년도에 카드 3사 정보유출사건이 발생했을 때도 보면 소송을 한 사람들이 10만 원씩 배상을 받았거든요.그런데 그 이후에 다른 게임사라든가 이런 데 소송을 하면 1만 원에서 5만 원 정도밖에 배상을 받은 적이 없기 때문에 이번에도 별도의 소송을 하지 않으면 정식적인 피해보상에 대해서는 보상받기가 상당히 요원하지 않을까 이렇게 보여집니다.
[앵커]
오늘 도움말씀은 여기까지 듣죠. 황석진 동국대 국제정보보호대학원 교수였습니다.고맙습니다.
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
■ 출연 : 황석진 동국대 국제정보보호대학원 교수
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다. 인용 시 [YTN 뉴스PLUS] 명시해주시기 바랍니다.
[앵커]
초유의 쿠팡 정보 유출 사고로 아파트 공동 현관 비밀 번호, 개인 통관 번호까지 모두 새어나갔을 우려가 제기되고 있습니다. 이번 사고의 원인부터 추가 피해를 방지할 대책까지 황석진 동국대 국제정보보호대학원 교수와 짚어보겠습니다.
[앵커]
지금 국내 이커머스 1위 쿠팡에서 3370만 명분의 이름과 전화번호, 주소, 이메일, 일부 주문정보고 유출됐습니다.어마어마한 거잖아요.국내 성인 4명 중 3명꼴 아니겠습니까?
[황석진]
대부분 경제활동을 하는 모든 사람들의 정보가 다 탈취당했다고 볼 수 있는데요.제일 중요한 건 지금까지 올해 4월에 SKT 사고가 있었지 않습니까?그때 당시에도 2500만 건 정도가 탈취당했는데 여기는 훨씬 더 규모가 큰 정보유출 사고라고 이렇게 표현할 수 있을 것 같습니다.
[앵커]
특이한 점은, 우리가 공동주택 현관 비밀번호라든지 개인 통관번호까지 유출된 것 아니냐 물어봤더니 쿠팡은 지금 조사 중이라서 제대로 밝힐 수가 없다고 얘기했거든요.구체적으로 어떤 수준까지 정보가 유출됐을까요?
[황석진]
일단 아까 말씀하신 것처럼 주문에 필요한, 배송에 필요한 정보를 다 갖고 갔다고 볼 수 있는데요.다만 집에 사람들이 매일매일 없으니까 공동 현관 비밀번호를 입력하게 만드는 경우도 상당히 많거든요.아니면 해외에서 직접적으로 물건을 공수해올 경우에는 해외 통관부호라든가 이런 부분도 필요하기 때문에 그런 부분까지 다 입력하게 해놨어요.그런데 해커가 실질적으로 그런 정보까지 모두 다 수집한 다음에 그 정보를 악용했던 사례라고 볼 수가 있는 것이죠.
[앵커]
이게 사건이 발생한 게 6월 24일인데 쿠팡 측에서 인지한 게 11월 18일이었거든요. 게다가 쿠팡이 11월 18일에는 4500개가 해킹이 됐다, 이렇게 했는데. 알고 봤더니 3370만 개가 확인된 거잖아요.어떻게 된 겁니까?
[황석진]
보통 데이터를 외부에서 해킹해서 가지고 나간다고 하면 양이라든가 트래픽건수라든지 이런 것들까지 모니터링하는 시스템이 대부분 다 있어요.아마 제가 봤을 때는 그 날짜에 공교롭게도 그 시간대에 대량의 정보를 갖고 나갔고 그리고 확인해 보니까 7000건 정도 돼서 그런 부분을 신고했는데 종합적으로 특정 IP라든가 이런 부분을 다 점검했겠죠. 그러다 보니까 4000건만 있는 것이 아니라 상당히 오래전부터 여러 해에 걸쳐서 상당히 많은 양을 탈취한 것이고 그걸 종합적으로 보니까 3370만 건이라는 이 수치가 나온 것으로 확인됐습니다.
[앵커]
일단 5개월 동안 몰랐다는 것도 놀랐고, 지금 결제정보와 로그인정보는 유출되지 않았다는 게 쿠팡 측의 설명인데 이거 믿을 수 있는 겁니까?
[황석진]
일단은 주장을 그렇게 하니까 그렇게 믿을 수 뿐이 없는 상황인데 솔직히 결제정보가 나가지 않았다고 해서 안전하다? 이렇게 볼 수는 없어요.왜냐하면 고객의 성명이라든가 전화번호, 이메일 주소, 거기다가 공동현관 비밀번호까지 다 나갔고 그리고 또 자기가 로그인하지 않더라도 자기 가족이라든가 지인에게 생필품을 보낼 수 있는 이런 부분이 있잖아요.그러면 자기가 아는 지인의 성명이라든가 전화번호, 집 주소까지 다 나가 있는 이런 상황이기 때문에 단순하게 결제정보가 나가지 않았기 때문에 안전하다, 이건 말이 안 되는 것이고. 개인의 생활밀착형 정보가 모두 다 유출됐다고 볼 수밖에 없는 환경인 겁니다.
[앵커]
그러면 지금 쿠팡이 공식적으로 밝힌 정보들, 그것들이 유출됐을 때 고객들이 입을 수 있는 2차 피해는 뭐가 있겠습니까?
[황석진]
일단 결제정보가 같이 나갔다고 그러면 쿠팡 사이트에서 결제가 이루어지고 다른 이커머스 사이트에서 결제가 이루어질 가능성도 있지만 그런 정보가 없다고 해도 회원의 성명, 전화번호, 그리고 주소 이것만 갖고 타게팅이라고 할 수 있는 보이스피싱이라든가 피싱 이런 부분이 가능한 거예요.그리고 특히 요즘에는 AI 기술이 상당히 뛰어나기 때문에 딥보이스라든가 딥페이크 이런 AI 기술을 악용해서 영상통화를 하는데 마치 그 사람인 것처럼 꾸며서 할 수 있는 것이고요.그리고 만약에 자기가 입력을 그 사람의 성명하고 전화번호를 입력하게 되면 다른 카카오톡이라든가 이런 데 친구 추가하기 이런 부분이 뜨지 않습니까?그러면 거기에 프로필사진 이런 부분도 있잖아요.그러면 그 프로필사진을 보고 똑같이 딥페이크 기술을 이용해서 사람의 얼굴을 만든다든가 또 어떤 음란사이트에 연결해서 합성해서 주변 사람들에게 뿌릴 수 있다든가 여러 가지 범죄가 발생할 가능성이 상당히 있는 겁니다.
[앵커]
범죄단체로 만약에 이런 정보들이 팔리게 된다면 이름뿐만 아니라 전화번호랑 주소까지 알고 있기 때문에 스토킹 범죄로도 이어질 수 있다, 이런 분석도 있더라고요.
[황석진]
그런 우려도 적지 않은 곳에서 계속 많이 말씀을 하시는데요.거기다가 공동현관 비밀번호까지 한다고 하면 언제든지 문 열고 들어가서 집 앞에서 계속 서성일 수도 있는 것이고 그리고 대량의 정보이기 때문에 그 정보에는 특정한 연령층에 있는 여성분이라든가 아니면 취약계층에 있는 사람을 노려서 직접 스토킹범죄를 한다든가 아니면 협박성 메일을 보낸다든가 이런 부분 모두가 다 가능하다고 볼 수 있는 것이죠.
[앵커]
그러면 원인 좀 짚어보죠. 쿠팡은 그전에도 정보 유출이 된 적이 있었기 때문에 과징금을 부과받은 적이 있잖아요.왜 또 이런 일이 발생했을까요?
[황석진]
아무래도 여러 가지 정황을 쭉 보니까 일련에 투자하는 정보 보안에 대한 비용이 한 900억 원 가까이 투자를 계속하고 있다고 그래요.그런데 이런 부분은 어떤 시설이라든가 장비, 그리고 인력에 대한 부분에 대한 부분은 투자를 아끼지 않고 계속하고 있는 것 같은데 다만 과거에도 발생했던 부분이 거의 대부분 내부직원의 관리부실에 대한 이슈로 계속 발생하는 경우가 상당히 많았거든요.그래서 이번 사건도 어떻게 보면 정보보안에 투자하는 비용이 문제가 아니라 내부통제, 관리부실 여기에 대한 포커싱이 상당히 많이 맞춰져 있는 것이죠. 그러다 보니까 내부에서 어떤 직원들에 대한 보안의식이라든가 그리고 실질적으로 관리할 수 있는 인력 이런 부분이 종합적으로 부족한 부분이 있지 않았나 이런 판단을 할 수 있을 겁니다.
[앵커]
그러니까 지금 쿠팡에서 개인정보유출사고가 네 번째 일어났는데 이게 다 외부 해킹이 아니라 내부 관리를 잘 못해서 일어난 일인데 어떻게 4번씩이나 이런 일이 일어났는지 궁금하고 어떤 경로로 유출된 건지 설명해 주시겠습니까?
[황석진]
기존에는 직원의 부주의라든가 이번에도 보면 노출이나 유출이나 이런 표현을 쓰지 않습니까?그러니까 접근권한이 없는 사람이 접근해서 그런 정보를 열람한다든가 다운한다든가 이게 비인가 접근이라고 표현할 수가 있는데 그런 부분이 상당히 많았다는 거죠. 그리고 이번에도 네 번째인데 기존 대부분이 다 직원들의 실수라든가 악의적인 마음을 갖고 했던 경우가 상당히 있는데 이번 건 같은 경우에는 원래 근무했던 직원이 해고에 앙심을 품고 해외에 가서 접근해서 대량의 정보를 거의 수시로 계속 빼간 것 같아요.그러니까 맨 처음에 4000건 정도 이렇게 얘기했지만 나중에 알고 보니까 3370만 건이나 어마어마한 정보가 유출된 것으로 확인되지 않았습니까?그렇다 보니까 아마 작심하고 계속 정보를 탈취하지 않았나 이런 판단이 듭니다.
[앵커]
지금까지 알려진 것을 보면 중국인 국적의 퇴사자가 중국으로 가서 거기에서 정보를 빼낸 것으로 알려진 거거든요.이게 어떻게 가능했을까요?
[황석진]
아무래도 중국인 근로자라고 하는데 그 사람이 정말 맞는지 안 맞는지는 아직 경찰수사가 진행 중이기 때문에 확정할 수는 없는 상황인데 다만 그 사람이 했던 일이 인증키 모듈을 생성하는 역할을 담당했던 직원이라고 해요. 우리가 이 사건의 기본이 되는 게 뭐냐 하면 인증키하고 사인키라는 것이 있거든요.쉽게 얘기하면 접근할 수 있는 권한을 일회용 신분증처럼 계속 만들어주는 게 인증키입니까?그리고 신분증이 진짜하는 걸 확인해 주는 게 하나의 액세스 토큰이라고 할 수 있는데 그런 것을 직접적으로 생성했던 그 일에 직접적으로 관여했던 직원이기 때문에 외부에서도 실질적으로 우회해서 접근해서 인증키를 계속 생성한 다음에 그 인증키를 바탕으로 해서 접근해서 정보를 탈취한 것으로 그렇게 추정되고 있습니다.
[앵커]
저희가 일반직원들도 회사에서 퇴사를 하면 출입증은 물론이고 아이디까지 다 반납을 하지 않습니까?이렇게 중요한 일을 하는 사람이 퇴사했는데 왜 그걸 그대로 놔둔 건가요?
[황석진]
인증키에 대한 유효기간이 5년, 여러 가지 계속 얘기가 나오는데 제일 중요한 건 퇴사자에 대한 관리 자체가 상당히 적절하지 않았다는 부분을 먼저 꼽을 수 있는데요. 먼저 퇴사를 하게 되면 사원증이라든가 출입증, 아이디카드 이런 부분을 다 회수하고 그리고 그 사람이 갖고 있던 회사 내부에 접근할 수 있는 권한 자체를 다 회수한다든가 삭제한다든가 이렇게 조치가 돼야 되는데 그런 부분이 전혀 이루어지지 않았다는 거죠. 그리고 특히 외부에서 접근할 때 인가받지 않은 사람이 접근한다고 하면 차단한다든가, 그리고 만약에 접근해서 어떤 데이터를 열람했다든가 다운로드를 받았든가 그러면 얼롯을 띄워서 문제가 있다, 이런 부분을 줘야 되는데 여러 가지 총체적인 관리부실이 이런 사태를 키우지 않았나 이런 생각이 드는데. 원래 최초로 보면 퇴사자에 대한 접근 권한을 차단하고, 그리고 만약에 접근했으면 어떤 부분을 접근했는지 이런 부분에 대한 열람을 할 수 있게 해야 되고 그리고 정보를 갖고 갔으면 그런 정보를 더 이상 추가적으로 갖고 가지 못하게 막는다든가 그리고 거기에 대해서 어떤 액션을 취한다든가 조치를 취한다든가 이렇게 해야 되는데 그런 부분 세 가지가 종합적으로 좀 더 부족하지 않았나 이런 판단이 됩니다.
[앵커]
보안전문가로서 보시기에 지금 일개 직원의 양심에 맡길 문제가 아니라 시스템적으로 아예 차단할 수 있는 그런 방식을 도입해야 되는 것 아니냐 이런 지적이 있거든요.
[황석진]
그렇습니다.외국계 기업 같은 경우에는 휴가자 같은 경우에는 아예 메인서버에 접근을 못하게 막아버립니다.실제로 휴가 중이라 그래도 부하직원이 결재를 해달라고 하면 그 사람의 아이디를 가지고 결제를 할 수 있고 이렇게도 할 수 있잖아요.그런데 외국계 기업 같은 경우에는 휴가라는 근태가 들어오면 아예 차단을 해버리고 또 퇴사를 하게 되면 그 사람이 쓰던 메일까지 아예 계정을 날려버린다든가 삭제한다든가 하는 경우가 상당히 많거든요.그렇기 때문에 이번 기회에 어차피 사고는 발생했지만 어떻게 수습하느냐가 가장 중요한 부분인데, 재발방지를 위해서 퇴사자라든가 그리고 비인가자에 대한 접근 권한을 완전히 차단하고, 그리고 만약에 그게 접근이 됐다고 그러면 왜 접근이 됐는지에 대한 원인이규명을 정확히 해서 차후에는 비정상적인 접근을 차단할 수 있는 이런 시스템개발을 적극적으로 도입할 필요가 있다, 이렇게 보여집니다.
[앵커]
월간 활성 이용자 수가 3400명대, 거의 전 국민이 이용하고 있는 쿠팡에 중요한 핵심 IT전문담당 직원을 언제든 해외로 나갈 수 있는 외국인으로 고용하는 게 흔한 일입니까?
[황석진]
흔하지는 않고요.다만 여러 가지 이슈가 있었겠죠. 쿠팡 같은 경우에는 글로벌기업이고 본사가 미국에 있고 중국에도 지부가 있고 국내에도 지사가 쭉 있는데, 아마 전문적으로 그런 분야에 노하우를 갖고 있는 직원을 채용해서 쓰다 보니까 아마 특정한 나라에 있는 IT기술 인력을 끌어다가 쓴 것으로 보여지는데 아마 그건 회사에서 종합적으로 판단할 부분이기 때문에 접근권한이 있는 이런 부분의 직원들에 대해서는 보안의식도 좀 더 수준이 높아야 되고 그리고 접근 권한을 한 번에 다 주면 안 됩니다.만약에 접근할 수 있는 경로가 10개라고 그러면 각각 쪼 개서 조치를 해야 되고 그리고 서로가 모니터링 시스템을 가동시켜서 얘가 하루에 얼마나 접근하고 무엇을 했는지 이런 부분에 대한 모니터링을 해야지, 그렇지 않으면 어떤 식으로든지 데이터를 갖고 간다든가 이렇게 된다고 그러면 이슈가 발생할 소지가 상당히 있기 때문에 그런 부분을 철저히 감시라든가 이런 부분이 아니라 사고예방을 위해서 서로가 크로스 체크를 해서 모니터링체계를 좀 더 확실하게 할 필요가 있는 거죠.
[앵커]
그리고 또 독특한 점은 쿠팡이 국내에서 최고 권위로 인정받고 있는 ISMS-P, 이걸 취득했다는 것 아니에요?그러면 이 인증은 아까 말씀하신 내부 통제라든지 관리 부실 면에는 별로 방점을 안 두고 있나 보죠?
[황석진]
일단은 ISMS-P, ISMS 이런 식으로 계속 얘기하는데 정보보안관리체계에 대한 부분입니다.그런데 결정적인 문제는 뭐냐 하면 약간 형식적인 주의에 그치는 경우가 상당히 많아서 일정한 욕구만 맞으면 대부분 인증해 주는 경우가 많아요.그래서 직접적으로 해킹을 한다든가 아니면 실질적으로 여기가 정말 안전한지 아닌지 이런 부분이 부족한 부분이 있어서 아마 최근에 SKT 사태, 그리고 KT 사태, 롯데카드 사태, 여러 가지 보안 사고가 상당히 많았지 않았습니까? 그렇기 때문에 말씀하신 이런 부분도 좀 더 실사용으로 변경해서 접근을 해야 되지 않을까 지금 그렇게 보고 있습니다.
[앵커]
지금 쿠팡 이용객들은 개인정보 노출됐다고 일방적으로 통보만 하면 다냐면서 분통을 터뜨리고 있습니다.그리고 지금 집단소송 움직임이 일고 있는데 어떻게 해야 된다고 보십니까?
[황석진]
일단은 자기 정보는 과거에는 자기정보에 대해서 기업들이 알아서 잘 지켜주는 이런 일들이 상당히 많았어요.그런데 어느 순간부터 자기 정보를 맡겨놓고만 있을 수 없는 이런 환경이 돼버렸죠. 아마 올해 일련의 사태를 쭉 보면 여러 금융기관도 그렇고 통신사도 그렇고 심지어 이커머스 이쪽에서 정보가 유출됐기 때문에 자기 정보는 이미 여러 군데에서 노출이 돼 있다고 볼 수밖에 없는 부분이에요.그렇기 때문에 지금의 입장에서 보면 자기가 가지고 있는 정보를 좀 더 소중하게 관리하는 방법이 가장 중요한데요.일단 대형포털이라든가 통신사라든가 애플리케이션에 접근하는 아이디는 어쩔 수 없지만 비밀번호를 주기적으로 바꾸는 게 상당히 좋고, 그리고 소액결제라든가 인터넷 결제는 아예 안 쓰게끔, 애플리케이션으로 차단이 가능하거든요.왜냐하면 대부분이 다 신용카드 결제가 상당히 많기 때문에 신용카드 애플리케이션에 그런 결제 기능이 상당히 많이 있습니다.그래서 해외 결제도 차단하고 소액결제도 차단하고 그리고 인터넷 결제도 차단하는 부분이 상당히 중요하고 그리고 제일 중요한 것은 이번에 쿠팡 건을 빌미로 말씀드리면 아무래도 쿠팡을 사칭한 스미싱 문자가 상당히 많이 올 거예요. 예를 들면 쿠팡에서 정보 유출이 됐는데 네 정보로 인해서 비정상이 발생했는지 아닌지 확인해봐. 그리고 다른 개인정보를 더 요구할 수 있는 부분이고 아니면 쿠팡에서 이번 사태 때문에 너한테 보상금을 주려고 해. 그래서 거기에 대해서 실질적으로 보상금을 준다는 스미싱 문자가 올 수도 있는 부분이고, 그리고 말씀하신 대로 위자료에 대한 부분이 가장 이슈가 될 소지가 있는데요.지금은 형사적인 제재 말고 민사적으로 만약에 제재를 받는다고 하면 과징금, 과태료 그리고 징벌적 손해배상 이 세 가지를 쿠팡이 부담해야 되는 부분이 있는데 소송을 하지 않으면 정식적인 위자료, 특별손해에 대해서는 보상받기는 상당히 힘듭니다.우리가 2014년도에 카드 3사 정보유출사건이 발생했을 때도 보면 소송을 한 사람들이 10만 원씩 배상을 받았거든요.그런데 그 이후에 다른 게임사라든가 이런 데 소송을 하면 1만 원에서 5만 원 정도밖에 배상을 받은 적이 없기 때문에 이번에도 별도의 소송을 하지 않으면 정식적인 피해보상에 대해서는 보상받기가 상당히 요원하지 않을까 이렇게 보여집니다.
[앵커]
오늘 도움말씀은 여기까지 듣죠. 황석진 동국대 국제정보보호대학원 교수였습니다.고맙습니다.
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]