TTESays

쿠팡 3,000만 건 개인정보 유출, 언론보도 및 지적에 무엇이 잘못됐고 무엇을 고쳐야 하는가

Donghwi Shin

Published: 08:00, 02 Dec 2025 (Updated: 17:58, 15 Dec 2025)

Photo by Mary Borozdina / Unsplash

💡

Editor Pick
- 쿠팡 개인정보 유출 관련 언론보도에 대한 질문과 의견
- 사고 대응을 위해 단순한 점검, 인증, 제도 강화/개선이 아닌 환경 변화 필요

1. 기사와 발표의 모순을 짚다: 사실관계의 혼선과 잘못된 기술적 이해

쿠팡에서 3,000만 건이 넘는 개인정보가 유출된 것으로 확인되었다. 사건 관련 언론보도를 살펴보면 사고의 심각성만큼이나 고민해야 할 부분은, 사고에 대한 정부, 언론의 설명이 명확하지 않거나 사실과 다를 수 있다는 점이다. 초기 보도에서는 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 절차 없이 침입했다고 전했고, 이어서 퇴사한 직원이 갱신되지 않은 엑세스 토큰 서명키를 사용했다는 설명이 뒤따랐으며, 또 다른 보도에서는 내부 시스템 접근 권한이 있는 사람이 취약점을 악용했다고 언급됐다. 이 설명은 기술적으로 서로 다른 공격 시나리오를 의미한다. 일반 국민뿐 아니라 기관 그리고 정치인까지 언론보도 내용을 인용하여 질문도하고 사실 확인을 요청한다. 그러므로 현재까지 나온 언론보도와 공개된 내용에 대해 잘못된 부분을 확인해보고자 한다.

“IP 추적 중”이라는 설명이 던지는 의문

기사에서 쿠팡이 제출한 서버 로그 분석을 통해 범행에 사용된 IP를 확보하고 추적 중이라고 밝힌 부분은, 곧바로 “원격에서 공격이 발생했는가?”라는 질문으로 이어진다. 퇴사자가 사내망이 아닌 외부에서 접근했다면 로그에 IP가 남아 있는 것은 자연스럽다. 여기서 중요한 것은 크게 두 가지로 볼 수 있는데,

첫째 엑세스 토큰 서명키를 활용해 접근하고 개인 정보를 가져 갔다면 원격지에서 개인정보를 저장하고 있는 스토리지에 접근할 수 있었다는 것을 의미한다. 그렇다면 쿠팡은 개인정보를 서비스망에 저장하면서 외부에서 접근 가능한 스토리지에 두었다는 것인지 답해야 한다.
두번째는 서비스 망에 개인정보를 조회할 수 있는 인터페이스가 있다면 외부에서 다수의 정보를 조회할 수 있도록 두었는지 답해야 한다.

쿠팡이 서비스망에 개인정보를 두었다는 것이 잘못이라고 지적하는 것이 아니다. 이 부분은 제도적인 측면으로 살펴볼 내용이다. 다만, 쿠팡과 같은 규모 있는 조직이라면 서비스망과 개발망을 별도로 관리할 것이며 서비스망이라는 것이 외부망과 내부망으로 나누어질것이다. 개인정보를 어디에 두었다 하더라도 누구나 쉽게 접근할 수 없으며 다수의 정보를 가져가기 힘든 구조가 되어야 한다. 하지만 결과론적으로 다수의 개인정보 유출이 있었다면 어떻게 구성되어 있었는지 의문인 것이다. 이는 엑세스 토큰 서명키 관리의 문제와 함께 서비스 구조 또는 설계적인 측면의 이슈를 집어야 하는 부분이다.

“엑세스 토큰 서명키 악용”은 내부망 접근을 의미하는가?

보도에 따르면 개인정보를 유출한 것으로 추정하는 퇴사자 A씨가 폐기하지 않은 엑세스 토큰 서명키를 이용해 범행을 저지른 것으로 추정할 수 있다. 서명키가 쿠팡 네트워크에서 어떤 역할을 하는지 정확히 알 수 없지만 통상적으로 서명키는 엑세스 토큰을 생성하기 위한 중요한 정보이다. 더구나 A씨가 인증 업무를 수행했던 만큼 사용자·관리자·시스템 계정까지 위조한 토큰 생성이 가능할 수 있다.

지금 중요한 것은 퇴사자 A씨가 발급 받은 토큰을 사용하여 어떤 행위까지 가능한지 파악하는 것이다. 단순히 퇴사자의 서명키가 남아 있다는 문제가 바로 눈에 보인다고 이 부분만을 문제로 지적하고 결론지어 버리는 것은 너무 1차원적이다. 그 이유는 상황에 따라 문제점으로 지적해야 하는 부분이 다르기 때문이다.

우선 토큰을 받았다 하더라도 개인정보를 가져갈 수 있는 방법이 없을 수 있다. 하지만 이와 같은 논리는 이미 결론이 나와서 가능성은 없지만 이렇게 가능성들이 가지를 치듯이 나누어 진다는 점을 명확히 지적해야 한다. 다음으로 퇴사자 A씨가 서명 키를 이용해 외부에서 토큰을 임의 생성하고 내부 API에 정상 권한으로 접근했다면, 이는 쿠팡의 인증 구조가 외부에서도 접근 가능한 API 엔드포인트를 열어두고 있었다는 의미이며, 이는 회사의 보안 정책이 매우 취약했음을 드러낸다. 다른 경우를 살펴보자면 A씨의 업무가 인증 관련 업무였으며 본인의 권한을 높게 설정하고 사용함에 있어 어떤 통제가 없었다면 기술적인 시스템의 문제라기 보다는 관리 쳬계의 문제를 지적해야 한다.

a blue sign on a white wall stating restricted area authorized personnel only — Photo by Jarrod Erbe / Unsplash

“내부 취약점을 파고들어 유출”이라는 설명의 모순

보도에서는 범인이 높은 권한을 갖고 시스템 취약점을 활용해 유출했다고 설명한다. 그러나 이 시나리오의 수립 가능성을 보려면 ‘서명 키 악용’에 대해 보다 자세히 살펴야 한다. 서명키 활용적 측면에서 즉시 개인정보를 가져갈 수 있다면 시스템 취약점을 활용할 이유가 없다. 하지만 서명키만으로 개인정보를 저장하고 있는 공간에 접근/조회할 수 없다면 취약점의 활용이 필요할 수 있다.

결국 사고가, 기능 악용인가?, 인증 우회인가?, 혹은 둘의 조합인가? 이를 명확히 해야 한다. 하지만 이에 대해 명확한 설명은 현재까지 없다. 다만 추론할 수 있는 것은 내부에 침입 흔적(ex. Exploit, 악성코드)가 명시적이지 않기 때문에 취약점을 굳이 활용할 이유가 있었을까? 라는 질문을 던질 수 있다.

💡

접근제어 정책 설정 실패로 인한 문제를 취약점을 규정할 것인가는 다른 문제 같다. 하지만 다른 언론보도에서 시스템 취약점이라는 표현을 사용했으므로 정상 기능의 악용보다는 운영체제 또는 응용프로그램의 취약점을 활용한 접근을 의미하는 것으로 판단했다.

“5개월 동안 몰랐다”는 주장, 정말로 이례적인가

쿠팡이 유출 사실을 인지하기까지 5개월이 걸렸다는 점은 언론에서 비판하고 있다. 그러나 글로벌 유출 사고 통계에 따르면 평균 탐지 시간은 IBM 2024 보고서 기준 204일(약 6.8개월), Mandiant 기준 153일(약 5개월)이다. 그 외의 통계를 보더라도 1년 이상 지속하는 공격 사례들도 찾아볼 수 있다. 그렇다면 쿠팡의 탐지 기간은 글로벌 평균과 거의 동일하거나 오히려 다소 짧은 편이다. 더구나 정상 기능을 활용한 악의적인 활동이었다면 탐지는 더더욱 어려운 것이 사실이다. 그렇다면 ‘5개월 동안 몰랐다’ 그러므로 문제가 심각하다는 내용은 기타 사례들과 함께 높고 어던 평가를 내려야할지 다시 확인해야할 부분이다. 물론 위와 같은 통계들이 있다고 하더라도 잘했다는 칭찬을 하고 싶은 것은 아니다. 사전에 탐지/차단할 수 있었는데 못했다는 아쉬움이 크게 남는나는 점을 지적하는 것은 어땠을지 아쉬움이 남는다.

“악성코드는 없다”라는 정부 발표

정부는 쿠팡 서버에서 악성코드는 발견되지 않았다고 밝혔다. 이는 퇴사자의 정상 토큰 악용이라는 기사 내용과 자연스럽게 일치한다. 또한, 내부자 혹은 내부 권한을 가진 자라면 굳이 탐지 위험이 높은 악성코드를 심을 이유가 없다. 따라서 “악성코드 없음”은 공격 방식의 속성을 더 명확하게 해주는 정보라 할 수 있다.

다만 우리는 과거 SKT 사례를 경험했으며 이후에 악성코드가 발견되는 모습을 이미 알고 있다. 그러므로 언론보도 측면에서 현재까지 정부의 발표 상황을 전달하는 측면에서 악성코드가 없다는 것을 알려주는 것 이상의 의미는 없다고 판단한다.

2. 미흡한 대응 구조와 제도적 한계: 무엇을 바꿔야 다음 사고를 막을 수 있는가

이전 문단에서는 언론 보도상의 문제점 등을 짚는 데 집중했다면, 이번 문단에서는 사고 대응의 전반적 미흡함과 제도 개선의 방향을 다룬다.

“사칭 문자 주의 공지” 수준으로는 부족하다

정부는 이번 사고 이후 “쿠팡을 사칭한 전화나 문자에 주의하라” 고 공지했다. 가능한 시나리오에 주의하라는 내용인데 사실 쿠팡의 개인정보 유출 사고에 초점을 맞춘 공지인지 의문이다. 직설적으로 이는 사실상 평상시에도 매번 반복되는 일반적 문구다. 3000만 건 이상의 전화번호·주소가 유출된 상황에서, 구체적인 위험 시나리오,(비록 가상이라 하더라도) 피해 예방을 위한 단계별 가이드, 실제 사칭 사례의 유형, 등이 제공되지 않은 점이 아쉬움으로 남는다.

ISMS-P 인증의 근본적 한계

이번 사고는 다시 한 번 ISMS-P 인증의 실효성 논란의 기사를 만들었다. ISMS-P 인증 기업 중 34건의 유출 사고가 있었다는 보도도 있으며 인증체계의 실효성에 대해 지적하기도 했다.

인증이라는 것이 보증이 아니라는 점을 명확히 했으면 한다. 인증 자체가 위험을 완전히 제거하는 것이 아니며 자격증을 취득하기 위한 최소한의 조건을 만족했다는 것을 의미한다. 즉, ISMS-P는 ‘보안 관리체계를 갖추었다’는 절차적 확인일 뿐, 시스템적·구조적 보안을 보장하지 않는다. 그럼에도 ‘ISMS-P 인증 기업이니까 안전하다’는 인식 자체의 변화가 필요하다.

추가로 한창민 의원실에서 지적한 “제도를 보완할지 새로운 예방 제도를 도입할지 결정해야 한다”는 주장 또한 중요한 문제를 담고 있다. 이와 같은 주장은 제도와 인증의 추가로 사고를 줄일 수 있다는 접근이 기저에 깔려 있다. 하지만 제조업과 전혀 다른 성격이라 할 수 있는 보안 영역의 경우 “인증이 추가되면 사고가 줄어든다”는 단순한 논리가 성립하지 않는다. 고민해야 할 부분은 인증, 제도의 보완만이 아닌 보안 수준의 실질적 개선을 위한 지속적 운영과 투자가 이루어지기 위한 환경을 조성하는 것이 핵심이다.

사고 때마다 반복되는 ‘점검 강화’ 발표

유출 사건이 발생할 때마다 업계와 정부는 “점검을 강화하겠다”고 발표한다. 사고 이후 이커머스 업계와 정부가 일제히 보안 점검을 강화하겠다고 발표한 것은 익숙한 풍경이다. 문제는 사고가 발생하면 이런 저런 점검하고, 안정되면 수준이 후퇴하며, 결국 평상시에는 강화된 상태가 유지되지 않는다. 이는 우리의 보안 규제가 ‘사고 중심의 대응’에 머물러 있음을 보여준다. 그리고 현업에서는 예산과 인력 문제가 발생하면 가장 먼저 줄어드는 영역이 보안 관리·운영 부문이라는 점도 문제를 심화시키고 있다.

누군가는 이런 상황이라도 만들어지는게 다행이라 하지만 이제 우리는 규모가 있으며 가치가 높은 산업들을 IT 서비스와 연계하면서 발전하고 있다. 이런 상황에 놓인 정부, 기업들이 중요한 자산을 IT 환경에 놓고 사용하는데, 사고 중심의 대응에 머무르고 있는 것이 적절한지 생각해 봤으면 한다. 진정한 개선은 사고 이후의 일시적 점검이 아니라, 평상시 고강도 점검을 유지하는 구조적 변화를 통해 이루어져야 한다.

결론

쿠팡 개인정보 유출 사건은 단순히 한 기업의 관리 실패로만 바라보진 않았으면 한다. 동종업계에서 사고가 나면 "우리도 점검해야 겠다"라는 판단을 내린다면 이는 그들만의 실패가 아니다. 인증 키 관리 부실, 퇴사자 권한 회수 실패, 탐지 체계의 비정상적 운영, 모호한 사고 안내, 인증제도의 한계, 업계의 반복되는 사후 대응 루프 등 여러 요소가 복합적으로 작용한 총체적 구조 실패의 결과다. 특히 인증 기반 보안이 이 정도 규모의 유출을 막지 못했다는 점은, 앞으로의 보안 체계가 인증 강화 중심에서 벗어나, 운영 절차와 탐지 체계, 위험 기반 접근법을 결합한 전면적 구조 개편이 필요함을 보여준다. 쿠팡 사태는 단순한 사건이 아니라, 한국 디지털 보안의 근본적 취약성을 드러낸 상징적 계기가 되었다. 이번 사건을 계기로 기업과 정부 모두가 보안의 구조적 개선이라는 어려운 과제의 첫발을 내 딛었으면 한다.