[더팩트 | 손원태 기자] 쿠팡에서 사실상 전 국민에 해당하는 개인정보가 유출되면서 소비자들의 불안감이 확산하고 있다. 쿠팡은 고객의 결제 정보 등은 유출되지 않았다는 입장이지만, 소비자 사이에서는 각종 금융 범죄를 우려하는 분위기다. 이와 관련 보안 전문가는 고객의 결제 정보를 다루는 로그기록이 있지 않는 한 금융 범죄로 이어질 가능성은 낮을 것이라는 분석이다.

2일 관련 업계에 따르면 쿠팡은 지난달 29일 약 3370만 개의 고객 정보가 무단으로 유출됐다며 공지했다. 앞서 쿠팡은 지난달 18일 약 4500개의 고객 정보가 유출됐다며, 관련 내용을 개인정보보호위원회에 신고했다. 그러나 쿠팡은 사고 발생 열흘 만에 이어진 후속 조사에서 개인정보 유출 피해가 기존 대비 7500배 늘었다고 추가로 밝혔다.

문제는 이번 고객 정보 유출 사고가 5개월 전부터 시작됐다는 점이다. 현재까지 나온 조사를 토대로 이번 사고의 유력한 용의자로 지목되는 사람은 쿠팡에서 인증 업무를 담당했던 중국인 A씨다. 그는 쿠팡 내부에서 특정 정보에 접근하기 위한 사용자 인증이나 권한 부여 등을 처리하는 업무를 맡았다. 하지만 그는 퇴사 이후인 지난 6월 24일부터 해외 서버를 통해 고객 정보를 무단 탈취했던 것으로 전해졌다.

특히 A씨는 쿠팡의 인증 토큰인 서버 인증키의 취약점을 파고든 것으로 나타났다. 인증 토큰은 로그인할 때 발행되는 출입증을 의미한다. 이 토큰은 생성과 폐기가 빠르면 1시간 이내로 완료될 만큼 주기가 짧다. 이를 생성하기 위해서는 서명키가 필요하다. 그러나 쿠팡이 인증 토큰 생성에 필요한 서명키를 부실하게 관리하며 문제를 키웠다는 지적이다. 이 서명키가 장기간 방치되면서 A씨가 퇴사 후에도 고객 정보를 무단으로 빼돌릴 수 있었던 것으로 풀이된다.

다만 보안 전문가 사이에서는 수사 상황을 지켜보자면서도 결제 정보 유출까지는 이어지지 않을 것이라는 분석이다.

염흥열 순천향대 정보보호학과 교수는 "직원이 결제 정보에 접근했다는 로그 기록이 있지 않는 한 최악으로 우려하는 결제 정보 유출까지는 이어지지 않을 것"이라면서도 "전화번호나 주소 등이 유출된 만큼 스미싱 피해에 대한 범죄 예방은 필요하다"고 진단했다.

그러면서도 "통상적으로 퇴사하면 모든 계정이나 접근 권한을 뺏어야 하는데 쿠팡이 이를 살렸다는 점에서 이해되지 않는 부분이 있다"고 짚었다.

업계에서도 쿠팡의 이번 대규모 개인정보 유출 사고를 계기로 보안 점검을 한층 강화하는 등 긴장 상태의 분위기가 역력하다. 우선 SSG닷컴과 11번가, 지마켓, 컬리 등 이커머스 업체들은 전반적으로 보안 점검에 강화하는 분위기다.

SSG닷컴은 보안 관련 내부통제 시스템을 한층 더 강화하기로 했고, 지마켓은 쿠팡 사고가 터진 지난 주말 새 긴급 보안점검을 실시했다. 11번가는 보안관제 전문 서비스를 도입한 만큼 상시 점검에 들어갔고, 컬리 역시 선제적 점검에 돌입했다는 전언이다.

이커머스업계 관계자는 "현재까지 쿠팡의 어떤 부분을 파고들어 개인정보 유출이 이뤄졌는지는 예단하기 이른 것 같다"면서 "수사 진행 결과가 나온 뒤 내부적으로 보안 시스템에 대한 자체 점검을 강화할 것 같다"고 설명했다.

쿠팡의 유료 멤버십 회원 수는 지난해 기준 1500만명으로 추산된다. 지난 10월 기준 쿠팡의 월간 사용자 수는 3438만명이다. 사실상 우리나라 전 국민(5168만명)의 약 70%에 해당하는 개인정보가 무단으로 유출됐다.

쿠팡의 이번 대규모 개인정보 유출 사고는 해커 등의 외부 소행이 아닌 내부자의 범행일 확률에 무게가 실린다. 이에 정부는 과학기술정보통신부, 개인정보보호위원회 등 민관합동조사단을 꾸려 강도 높은 수사를 예고했다.

박대준 쿠팡 대표는 "모든 고객 정보를 보호하는 것이 중요한 우선순위"라며 "쿠팡은 종합적인 데이터 보호와 보안 조치, 프로세스를 유지하고 있다"고 밝혔다. 이어 "쿠팡은 민관합동조사단과 긴밀히 협력해 추가 피해 예방을 위해 최선을 다하고 있으며, 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있을지도 함께 검토하고 있다"고 밝혔다.

tellme@tf.co.kr