6월 24일-11월 8일 사이 비정상 접속 반복
“쿠핑 내부 프라이빗 서명 키 탈취, 가짜 토큰 만들어 다른 사용자 가장”
[보안뉴스 여이레 기자] “쿠팡 매출이 롯데, 이마트 신세계보다 높다. 김범석 의장을 증인으로 부르겠다.”
국회 과학기술정보방송통신위원회는 2일 오전 전체회의를 열고 쿠팡의 대규모 개인정보 유출 사태에 대한 긴급 현안질의를 실시했다.
박대준 쿠팡 대표이사와 브랫 매티스 최고정보보안책임자(CISO) 등이 증인으로 출석한 가운데 이날 여야 의원들은 프라이빗 키 관리 부실, 늦장 대응, 김범석 의장의 책임 회피, 2차 피해 우려 등을 집중 추궁했다. 징벌적 손해배상 도입과 최고 수준의 과징금 부과도 거론됐다.
[자료: 연합뉴스]
프라이빗 서명 키 탈취로 3370만 계정 ‘가짜 토큰’ 생성
이날 현안질의에서 류재명 과기정통부 2차관은 “6월 24일부터 11월 8일까지 공격자가 쿠팡 서버 인증 취약점을 악용해 비정상 접속을 반복했으며, 3000만 개 이상 계정에서 개인정보가 유출된 것으로 판단된다”고 보고했다.
브랫 매티스 쿠팡 CISO는 “공격자가 일부 API에만 접근했으며, 쿠팡 내부 시스템의 로우레벨 데이터베이스에는 접근할 수 없었다”고 강조했다. 하지만 여야 의원들은 “5개월 가까이 침해를 인지하지 못했다는 것 자체가 보안 시스템의 총체적 부실”이라고 질타했다.
매티스 CISO는 범행 방법에 대해 “프라이빗 서명 키를 탈취한 공격자가 가짜 토큰을 만들어 다른 사용자인 것처럼 가장했다”면서 “쿠팡 내부의 프라이빗 서명 키를 취득한 것으로 보인다”고 했다. 이어 그는 “이 키를 인증해 세계적으로 사용하는 표준 절차인 JWT(JSON Web Token)를 이용한 가짜 토큰을 생성했다”고 설명했다.
박대준 쿠팡 대표는 용의자로 지목된 전직 중국 직원과 관련해 “인증 업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다”고 말했다. 유출자의 동기나 신원에 대해 박대준 대표는 “경찰 수사가 진행 중이어서 답변하기 어렵다”며 “기술적 요소는 알고 있지만 직원의 동기에 대해서는 말씀드리기 곤란하다”고 했다.
이준석 의원은 “고객정보 탈취가 목적인지 시스템 전체가 목적인지 판단해야 한다”며 “실망스러운 답변”이라고 질타했다.
“김범석 의장 어디 있나”…실질 책임자 소재 불명 논란
김범석 의장은 2021년 쿠팡 한국 법인 이사회 의장직과 등기이사직에서 물러났지만, 모회사 쿠팡Inc를 통해 전략 방향과 투자 결정을 내리는 실질적 책임자로 꼽힌다. 미국 시민인 김 의장은 의결권의 70% 이상을 가지고 있지만 국회 출석 요구가 있을 때마다 해외 체류 등을 이유로 피하고 있다.
이훈기 더불어민주당 의원은 “국내 사상 초유의 유출 사고가 아닌가 싶다. 쿠팡이 보안에 얼마나 소홀하고 무책임했는가 모든 국민이 느끼셨을 것”이라며 “김범석 쿠팡Inc 이사회 의장이 직접 사과할 의향은 없냐”고 비판했다.
이상휘 국민의힘 의원은 “쿠팡 매출은 40조원으로 롯데, 이마트, 신세계 매출을 합친 37조원보다 많다”며 “대한민국에서 돈을 벌어가면서 김 의장은 뒤에 숨어 있고 박 대표가 나와서 이 자리를 감당할 수 있겠느냐”고 물었다.
과방위는 향후 쿠팡이 자료 제출이나 답변을 거부할 경우 청문회를 열고 김범석 의장을 증인으로 채택하겠다고 경고했다.
[자료: 연합뉴스]
’유출’ vs ‘노출’ 표현 공방과 책임 회피 논란
쿠팡이 사고 직후 이용자들에게 ‘개인정보 유출’이 아닌 ‘노출’이라는 표현을 사용한 것에 대해 이훈기 의원은 “과징금 등을 생각해서 이런 표현을 했는지 모르겠지만 국민들을 기만한 것”이라고 질책했다. 박대준 대표는 “책임을 모면하고자 하는 의미는 아니었으며 다른 의도가 없었다”며 “생각이 좀 부족했던 것 같다”고 해명했다.
또 현재 쿠팡 측은 고객의 크레덴셜이나 해시값, 패스워드 정보는 노출되지 않았다는 입장이지만, 정보보호 전문가들은 프라이빗 키 탈취와 인증 토큰 위조를 통해 제3자가 타인 계정·데이터에 접근했다면 명백한 ‘개인정보 유출’에 해당한다고 지적한다.
이정렬 개인정보보호위원회 부위원장은 “정보통신망법상 신고의무를 비롯한 모든 조항은 해외법인이라도 우리 국민에게 미치는 영향이 있으면 적용 대상”이라며 “더 엄정하게 조사해 조치하겠다”고 밝혔다.
징벌적 손해배상·1조원대 과징금 카드 꺼낸 국회
과방위 질의에서는 징벌적 손해배상 도입과 최고 수준의 과징금 부과도 거론됐다. 개인정보보호법상 개인정보 도난·유출 시 기업에는 전체 매출의 최대 3%까지 과징금이 부과될 수 있다. 쿠팡의 지난해 매출이 약 41조원 규모인 것을 고려하면 과징금이 최대 1조2000억원 대에 이를 수 있다는 전망이다.
최수진 국민의힘 의원은 쿠팡이 그간 세 차례 개인정보 유출 사고에도 ‘솜방망이 처벌’을 받았다고 지적했다. 앞서 3건의 개인정보 유출 사고로 쿠팡에 부과된 과징금 및 과태료는 총 16억원에 불과했다.
이정렬 개인정보위 부위원장은 최수진 의원의 지적에 “실정에 맞게 비례해서 엄중하게 책임을 물을 방법을 적극 검토하겠다”고 말했다.
일부 의원들은 “쿠팡급 플랫폼이 개인정보 보호 의무를 소홀히 할 경우, 매출·시가총액에 비례한 징벌적 손해배상이 없으면 구조적 개선은 어렵다”며 관련 입법을 서둘러야 한다고 강조했다.
이재명 대통령도 이날 국무회의에서 “사고 원인을 조속히 규명하고 엄중히 책임을 물어야 한다”며 징벌적 손해배상 제도 현실화를 언급했다.
2차 피해 우려 현재는 없다지만...모니터링 강화 예고
박정훈 국민의힘 의원은 “(이번에 유출된 정보가) 범죄에 악용될 수 있다고 본다. 개인통관번호도 유출돼 밀수 등에 이용될 수 있고 보이스피싱은 기본”이라며 2차 피해 가능성을 지적했다.
박 대표는 “아직 2차 피해는 없는 것으로 안다”면서도 “유출 정보 등을 악용해 2차 피해가 발생할 우려가 있어 피해 발생 여부에 대한 모니터링을 강화하고 유관 기관과 공조해 피해를 방지할 것”이라고 했다.
개인정보보호 당국과 시민단체들은 공격자가 접근한 API를 통해 거래·구매내역, 배송지, 연락처 등 민감한 생활 정보가 노출됐다면 피싱·스미싱, 맞춤형 사기, 스토킹 등 2차 범죄의 빌미가 될 수 있다고 경고하고 있다.
[여이레 기자(gore@boannews.com)]
“쿠핑 내부 프라이빗 서명 키 탈취, 가짜 토큰 만들어 다른 사용자 가장”
[보안뉴스 여이레 기자] “쿠팡 매출이 롯데, 이마트 신세계보다 높다. 김범석 의장을 증인으로 부르겠다.”
국회 과학기술정보방송통신위원회는 2일 오전 전체회의를 열고 쿠팡의 대규모 개인정보 유출 사태에 대한 긴급 현안질의를 실시했다.
박대준 쿠팡 대표이사와 브랫 매티스 최고정보보안책임자(CISO) 등이 증인으로 출석한 가운데 이날 여야 의원들은 프라이빗 키 관리 부실, 늦장 대응, 김범석 의장의 책임 회피, 2차 피해 우려 등을 집중 추궁했다. 징벌적 손해배상 도입과 최고 수준의 과징금 부과도 거론됐다.
[자료: 연합뉴스]
프라이빗 서명 키 탈취로 3370만 계정 ‘가짜 토큰’ 생성
이날 현안질의에서 류재명 과기정통부 2차관은 “6월 24일부터 11월 8일까지 공격자가 쿠팡 서버 인증 취약점을 악용해 비정상 접속을 반복했으며, 3000만 개 이상 계정에서 개인정보가 유출된 것으로 판단된다”고 보고했다.
브랫 매티스 쿠팡 CISO는 “공격자가 일부 API에만 접근했으며, 쿠팡 내부 시스템의 로우레벨 데이터베이스에는 접근할 수 없었다”고 강조했다. 하지만 여야 의원들은 “5개월 가까이 침해를 인지하지 못했다는 것 자체가 보안 시스템의 총체적 부실”이라고 질타했다.
매티스 CISO는 범행 방법에 대해 “프라이빗 서명 키를 탈취한 공격자가 가짜 토큰을 만들어 다른 사용자인 것처럼 가장했다”면서 “쿠팡 내부의 프라이빗 서명 키를 취득한 것으로 보인다”고 했다. 이어 그는 “이 키를 인증해 세계적으로 사용하는 표준 절차인 JWT(JSON Web Token)를 이용한 가짜 토큰을 생성했다”고 설명했다.
박대준 쿠팡 대표는 용의자로 지목된 전직 중국 직원과 관련해 “인증 업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다”고 말했다. 유출자의 동기나 신원에 대해 박대준 대표는 “경찰 수사가 진행 중이어서 답변하기 어렵다”며 “기술적 요소는 알고 있지만 직원의 동기에 대해서는 말씀드리기 곤란하다”고 했다.
이준석 의원은 “고객정보 탈취가 목적인지 시스템 전체가 목적인지 판단해야 한다”며 “실망스러운 답변”이라고 질타했다.
“김범석 의장 어디 있나”…실질 책임자 소재 불명 논란
김범석 의장은 2021년 쿠팡 한국 법인 이사회 의장직과 등기이사직에서 물러났지만, 모회사 쿠팡Inc를 통해 전략 방향과 투자 결정을 내리는 실질적 책임자로 꼽힌다. 미국 시민인 김 의장은 의결권의 70% 이상을 가지고 있지만 국회 출석 요구가 있을 때마다 해외 체류 등을 이유로 피하고 있다.
이훈기 더불어민주당 의원은 “국내 사상 초유의 유출 사고가 아닌가 싶다. 쿠팡이 보안에 얼마나 소홀하고 무책임했는가 모든 국민이 느끼셨을 것”이라며 “김범석 쿠팡Inc 이사회 의장이 직접 사과할 의향은 없냐”고 비판했다.
이상휘 국민의힘 의원은 “쿠팡 매출은 40조원으로 롯데, 이마트, 신세계 매출을 합친 37조원보다 많다”며 “대한민국에서 돈을 벌어가면서 김 의장은 뒤에 숨어 있고 박 대표가 나와서 이 자리를 감당할 수 있겠느냐”고 물었다.
과방위는 향후 쿠팡이 자료 제출이나 답변을 거부할 경우 청문회를 열고 김범석 의장을 증인으로 채택하겠다고 경고했다.
[자료: 연합뉴스]
’유출’ vs ‘노출’ 표현 공방과 책임 회피 논란
쿠팡이 사고 직후 이용자들에게 ‘개인정보 유출’이 아닌 ‘노출’이라는 표현을 사용한 것에 대해 이훈기 의원은 “과징금 등을 생각해서 이런 표현을 했는지 모르겠지만 국민들을 기만한 것”이라고 질책했다. 박대준 대표는 “책임을 모면하고자 하는 의미는 아니었으며 다른 의도가 없었다”며 “생각이 좀 부족했던 것 같다”고 해명했다.
또 현재 쿠팡 측은 고객의 크레덴셜이나 해시값, 패스워드 정보는 노출되지 않았다는 입장이지만, 정보보호 전문가들은 프라이빗 키 탈취와 인증 토큰 위조를 통해 제3자가 타인 계정·데이터에 접근했다면 명백한 ‘개인정보 유출’에 해당한다고 지적한다.
이정렬 개인정보보호위원회 부위원장은 “정보통신망법상 신고의무를 비롯한 모든 조항은 해외법인이라도 우리 국민에게 미치는 영향이 있으면 적용 대상”이라며 “더 엄정하게 조사해 조치하겠다”고 밝혔다.
징벌적 손해배상·1조원대 과징금 카드 꺼낸 국회
과방위 질의에서는 징벌적 손해배상 도입과 최고 수준의 과징금 부과도 거론됐다. 개인정보보호법상 개인정보 도난·유출 시 기업에는 전체 매출의 최대 3%까지 과징금이 부과될 수 있다. 쿠팡의 지난해 매출이 약 41조원 규모인 것을 고려하면 과징금이 최대 1조2000억원 대에 이를 수 있다는 전망이다.
최수진 국민의힘 의원은 쿠팡이 그간 세 차례 개인정보 유출 사고에도 ‘솜방망이 처벌’을 받았다고 지적했다. 앞서 3건의 개인정보 유출 사고로 쿠팡에 부과된 과징금 및 과태료는 총 16억원에 불과했다.
이정렬 개인정보위 부위원장은 최수진 의원의 지적에 “실정에 맞게 비례해서 엄중하게 책임을 물을 방법을 적극 검토하겠다”고 말했다.
일부 의원들은 “쿠팡급 플랫폼이 개인정보 보호 의무를 소홀히 할 경우, 매출·시가총액에 비례한 징벌적 손해배상이 없으면 구조적 개선은 어렵다”며 관련 입법을 서둘러야 한다고 강조했다.
이재명 대통령도 이날 국무회의에서 “사고 원인을 조속히 규명하고 엄중히 책임을 물어야 한다”며 징벌적 손해배상 제도 현실화를 언급했다.
2차 피해 우려 현재는 없다지만...모니터링 강화 예고
박정훈 국민의힘 의원은 “(이번에 유출된 정보가) 범죄에 악용될 수 있다고 본다. 개인통관번호도 유출돼 밀수 등에 이용될 수 있고 보이스피싱은 기본”이라며 2차 피해 가능성을 지적했다.
박 대표는 “아직 2차 피해는 없는 것으로 안다”면서도 “유출 정보 등을 악용해 2차 피해가 발생할 우려가 있어 피해 발생 여부에 대한 모니터링을 강화하고 유관 기관과 공조해 피해를 방지할 것”이라고 했다.
개인정보보호 당국과 시민단체들은 공격자가 접근한 API를 통해 거래·구매내역, 배송지, 연락처 등 민감한 생활 정보가 노출됐다면 피싱·스미싱, 맞춤형 사기, 스토킹 등 2차 범죄의 빌미가 될 수 있다고 경고하고 있다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
