AD
[서울=뉴시스] 강세훈 기자, 김다빈 인턴기자 = 쿠팡의 대규모 해킹 사고와 관련해 휴면·탈퇴 회원 약 900만명의 정보까지 유출된 정황이 드러나면서, 쿠팡의 보안 시스템이 정상적으로 작동하고 있었는지에 대한 의문이 커지고 있다. 전문가들은 수백만 개의 비활성 계정 접속을 탐지하지 못한 점에 주목하며 추가적인 보안 침해 사례가 더 있을 가능성도 제기하고 있다.
김승주 고려대 정보보호대학원 교수는 14일 유튜브 채널 ‘장르만 여의도’에 출연해 이번 쿠팡 사고에 대한 추가 사고의 가능성을 언급했다.
김 교수는 “이번 쿠팡 사고로 유출된 약 3370만명의 개인 정보 중 휴면 또는 탈퇴 회원이 약 900만명”이라며 “정상적인 보안 시스템을 갖춘 회사라면 탈퇴 계정에서 접속이 시도될 경우 즉각 이상 징후를 감지해 알람이 울려야 한다”고 설명했다.
그는 “쿠팡이 900만개의 탈퇴 계정 접속을 감지하지 못했다면 보안 시스템이 제대로 작동하고 있는 회사인지 의문을 가질 수밖에 없다”며 “이걸 조사하면 사고 건수가 더 나올 수 있을 것 같다”고 말했다.
이번 사고의 원인으로는 내부 보안 관리 부실과 허술한 시스템 설계가 지목된다. 김 교수는 “쿠팡의 가장 큰 문제는 마스터키를 개발자가 탈취해서 들고 나갈 수 있도록 방치한 것”이라며 “퇴직자 관리도 안 됐다”고 지적했다.
사고 이후 대응 과정에서도 문제점이 드러났다는 지적이다. 김 교수는 “처음에는 (정보) ‘유출’이란 단어를 안 쓰고 ‘노출’이라고 했다. 그런데 국회에서 압박이 계속 들어오니까 마지못해서 그걸 유출로 바꿨다”고 말했다.
또한 정보 유출 공지를 메인 홈페이지 화면이 아닌 광고 배너 위치나 회사 소개란에 게시하고, 문자 안내에 URL을 포함하는 등 기본적인 보안 사고 대응 매뉴얼을 지키지 않았다고 꼬집었다. 그는 “이 정도면 기본적인 대응 매뉴얼이 존재하지 않는 회사”라고 비판했다.
김 교수는 이번 사태를 통해 드러난 쿠팡의 보안 수준에 대해 “글로벌 기업은 커녕 국내 평균에도 미치지 못한다”며 “개인적으로 국내 다른 쇼핑몰이나 이런 데보다도 (낮다)”라고 덧붙였다.
한편 쿠팡의 이번 대규모 해킹 사고와 관련해 오는 17일 청문회가 열릴 예정이다.
◎공감언론 뉴시스 kangse@newsis.com
