개인정보 유출 쿠팡, 수개월 전 이미 사이버 보안 허점 지적받아 | 종합

25.12.14 525 읽음

개인정보 유출 쿠팡, 수개월 전 이미 사이버 보안 허점 지적받아

IT조선

수천만명의 개인정보를 유출한 쿠팡이 위기 대응 개인 역량에 의존하고, 보안 사고 발생 시 지휘·관제 개입 기준이 불명확한 등 사이버 공격 대응 능력이 취약하다는 점을 알고 있던 것으로 파악됐다.

14일 이준석 개혁신당 의원 등에 따르면 쿠팡은 최근 국회에 올해 3월 실시한 해킹 방어 대응 훈련 결과 보고서를 제출했다. 쿠팡이 컨설팅 기업인 액센츄어에 의뢰해 사이버 보안 사고 발생 시 대응 능력을 점검하기 위해 모의 훈련을 진행한 결과를 담은 보고서다. 사이버 공격 발생 시 보안운영통합(SecOps) 관제가 개입하는지를 중심으로 대응 능력을 살폈다.

액센츄어는 보고서에서 크게 두 가지를 약점으로 꼽았다. 우선 위기관리 절차를 문서화하지 않고 구성원 개인의 역량에 의존하거나 문서가 개인별로 나눠 있다고 지적했다. 모의 훈련 동안에는 문제가 없었으나 이는 개선해야 할 부분이라고 지적했다. 최근 불거진 개인정보 유출 사고도 이 부분에서 비롯됐다. 유출 혐의자는 인증 부서 소속 개발자로 키 개발에 필요한 권한을 가지고 있었는데 재직 기간은 2022년 11월 16일부터 올해 1월 1일까지였으나 문제가 된 키는 2024년 4월 이후 만들어져 올해 11월 19일 회수된 것으로 파악됐다.

쿠팡의 보안 운영(SecOps, Security Operations) 관제가 제대로 작동하지 않는다는 점도 지적했다. 사이버 공격이 확인되고 보안 이슈로 판별이 난 이후에도 사고 지휘가 어떻게 이뤄져야 하는지 명확한 기준이 없다는 설명이다. 보고서는 “SecOps 관제 개입 시점에 대한 명확한 기준이 없을 경우 사이버 공격이 장기간 탐지되지 않은 채 지속돼 공격자가 활동을 확대할 가능성이 커진다”고 했다.

이 같은 지적을 받았음에도 쿠팡은 대규모 개인정보가 유출되는 것을 제대로 파악하지 못하고 있었다. 쿠팡이 개인정보 유출을 파악한 건 11월 18일이다. 6월 공격이 시작되고 5개월이 되도록 파악하지 못했다. 보고서가 지적한 취약점에 대해 쿠팡은 정기적으로 점검하고 조치를 하고 있다는 입장인 것으로 알려졌다.

윤승준 기자

sjyoon@chosunbiz.com