쿠팡의 개인정보 유출은 인증키 방치가 주요 원인으로 지적
[보안뉴스= 배종찬 인사이트케이 연구소장] 이커머스 시장의 1위 기업인 쿠팡의 개인정보가 ‘팡팡’ 뚫려 버리는 대참사가 발생했다. 경찰은 약 3370만개에 달하는 쿠팡 고객 개인정보 유출 사태와 관련 해 중국인 전 직원의 소행일 가능성이 있다고 보고 수사에 나섰다.
▲이커머스 1위 업체 쿠팡에서 약 3천400만건에 이르는 대규모 개인정보가 유출된 가운데 2일 서울 시내 한 쿠팡 물류센터에 배송차량이 주차돼 있다. [자료: 연합]
현재까지 파악된 쿠팡의 유출 규모는 2011년 싸이월드 개인정보 유출 사태 이후 14년 만에 최대 규모다. 쿠팡은 지난 11월 20일 입장문을 통해 “쿠팡 시스템과 내부 네트워크망이 외부로부터의 침입 흔적은 없는 것으로 확인됐다”고 밝히면서 쿠팡에서 퇴사한 중국 국적 직원이 사태의 배경에 있다는 의혹을 제기했다. 설사 퇴사한 전 직원의 소행이라고 하더라도 쿠팡은 총괄적인 책임으로부터 결코 자유로울 수 없다.
가장 큰 책임은 유출된 정보가 너무나 방대하다는 점이다. 쿠팡은 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 국내 성인 4명 중 3명의 정보가 유출된 셈이다. 쿠팡 자체 조사에 따르면 유출된 정보는 고객 이름·이메일·전화번호·주소·일부 주문정보 등이다.
또 하나의 책임은 유출된 시점 파악이 매우 늦었다는 점이다. 개인정보 유출이 약 5개월 전부터 이뤄졌을 가능성도 제기된다. 개인정보 유출이 지난 6월 24일부터 시작됐고, 그 사실을 인지했다고 밝힌 날이 지난 11월 18일이라는 쿠팡 측 설명에 따른다고 해도 5개월에 가까운 기간은 너무나 아득해 보인다. 만약 거의 5개월 동안 유출 사실을 몰랐다는 건데 도무지 납득이 가지 않는 대목이다.
쿠팡은 사태의 심각성에 대한 인식 문제마저 드러냈다. 쿠팡은 이번 사태 초기부터 안내문 등에서 ‘개인정보 유출’이 아니라 ‘노출’이라는 표현을 고수해 왔다. ‘시스템이 해킹당했으면 유출인데, 이번 사건은 시스템 해킹이 아니’라는 것이 쿠팡 쪽 주장이다.
하지만 쿠팡 사태는 앞서 발생한 SKT·KT 등 통신사나 롯데카드 등에서 발생한 개인정보 유출 사고와는 규모나 기업의 개인정보 관리·감독 면에서 더욱 심각하다는 지적이 나온다. 앞서 발생한 사건은 해킹으로 인한 악성코드 감염, 불법 팸토셀(초소형 기지국) 등 외부적 요인이 원인이지만, 쿠팡의 경우엔 내부 직원에 의한 개인정보 유출 가능성이 부각되고 있기 때문이다. 유출에 따른 관리 책임까지 사안의 심각성은 더욱 커질 것으로 관측된다.
▲쿠팡 개인정보에 대한 빅데이터 감성 연관어 [자료: 인사이트케이]
그렇다면 빅데이터는 쿠팡 개인정보에 대해 어떤 반응을 보일까. 빅데이터 심층 분석 도구인 썸트렌드(SomeTrend)로 11월 29~30일 동안 쿠팡 개인정보에 대한 빅데이터 감성 연관어를 도출해 보았다. 쿠팡 개인정보에 대한 빅데이터 감성 연관어는 ‘피싱’, ‘보이스피싱’, ‘안전하다’, ‘진심’, ‘피해’, ‘범죄’, ‘안전’, ‘보상’, ‘우려’, ‘심려’, ‘충격’, ‘위험’, ‘해소하다’, ‘불안하다’, ‘신속하다’, ‘불안’, ‘다행’, ‘귀찮다’, ‘심려끼치다’, ‘의문’, ‘최선노력다하다’, ‘의심’, ‘충격적’, ‘불안감’, ‘우려하다’, ‘이상하다’, ‘조치취하다’ 등으로 나타났다(위 그림).
쿠팡 개인정보에 대한 빅데이터 감성 연관어 결과를 놓고 보면 쿠팡의 이번 개인정보 유출에 대한 민심 이반이 매우 심각한 것으로 드러나고 있다. 게다가 ‘피싱’, ‘보이스피싱’, ‘충격’, ‘위험’, ‘불안’ 등으로 볼 때 2차 또는 3차 피해를 우려하는 목소리도 상당히 높은 것으로 분석된다.
▲배종찬 연구소장 [자료: 인사이트케이]
쿠팡의 개인정보 유출은 인증키 방치가 주요 원인으로 지적되고 있다. 쿠팡은 토큰 서명키 유효 인증 기간에 대해 “5~10년으로 설정하는 사례가 많다는 것으로 알고 있다”면서 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 설명하고 있다. 하지만 정확한 유효 기간에 대해서는 수사 중이라는 점을 내세워 밝히지 않고 있다. 서명키는 출입증을 찍어주는 ‘도장’의 개념이다. 많은 고객 정보의 보안이 달린 문제인데 도장까지 ‘팡팡’ 뚫린 쿠팡 참사가 그저 아찔할 뿐이다. 이 참에 어느덧 대기업 반열에 성큼 오른 쿠팡의 문제 해결능력을 예의주시하고자 한다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
[보안뉴스= 배종찬 인사이트케이 연구소장] 이커머스 시장의 1위 기업인 쿠팡의 개인정보가 ‘팡팡’ 뚫려 버리는 대참사가 발생했다. 경찰은 약 3370만개에 달하는 쿠팡 고객 개인정보 유출 사태와 관련 해 중국인 전 직원의 소행일 가능성이 있다고 보고 수사에 나섰다.
▲이커머스 1위 업체 쿠팡에서 약 3천400만건에 이르는 대규모 개인정보가 유출된 가운데 2일 서울 시내 한 쿠팡 물류센터에 배송차량이 주차돼 있다. [자료: 연합]
현재까지 파악된 쿠팡의 유출 규모는 2011년 싸이월드 개인정보 유출 사태 이후 14년 만에 최대 규모다. 쿠팡은 지난 11월 20일 입장문을 통해 “쿠팡 시스템과 내부 네트워크망이 외부로부터의 침입 흔적은 없는 것으로 확인됐다”고 밝히면서 쿠팡에서 퇴사한 중국 국적 직원이 사태의 배경에 있다는 의혹을 제기했다. 설사 퇴사한 전 직원의 소행이라고 하더라도 쿠팡은 총괄적인 책임으로부터 결코 자유로울 수 없다.
가장 큰 책임은 유출된 정보가 너무나 방대하다는 점이다. 쿠팡은 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 국내 성인 4명 중 3명의 정보가 유출된 셈이다. 쿠팡 자체 조사에 따르면 유출된 정보는 고객 이름·이메일·전화번호·주소·일부 주문정보 등이다.
또 하나의 책임은 유출된 시점 파악이 매우 늦었다는 점이다. 개인정보 유출이 약 5개월 전부터 이뤄졌을 가능성도 제기된다. 개인정보 유출이 지난 6월 24일부터 시작됐고, 그 사실을 인지했다고 밝힌 날이 지난 11월 18일이라는 쿠팡 측 설명에 따른다고 해도 5개월에 가까운 기간은 너무나 아득해 보인다. 만약 거의 5개월 동안 유출 사실을 몰랐다는 건데 도무지 납득이 가지 않는 대목이다.
쿠팡은 사태의 심각성에 대한 인식 문제마저 드러냈다. 쿠팡은 이번 사태 초기부터 안내문 등에서 ‘개인정보 유출’이 아니라 ‘노출’이라는 표현을 고수해 왔다. ‘시스템이 해킹당했으면 유출인데, 이번 사건은 시스템 해킹이 아니’라는 것이 쿠팡 쪽 주장이다.
하지만 쿠팡 사태는 앞서 발생한 SKT·KT 등 통신사나 롯데카드 등에서 발생한 개인정보 유출 사고와는 규모나 기업의 개인정보 관리·감독 면에서 더욱 심각하다는 지적이 나온다. 앞서 발생한 사건은 해킹으로 인한 악성코드 감염, 불법 팸토셀(초소형 기지국) 등 외부적 요인이 원인이지만, 쿠팡의 경우엔 내부 직원에 의한 개인정보 유출 가능성이 부각되고 있기 때문이다. 유출에 따른 관리 책임까지 사안의 심각성은 더욱 커질 것으로 관측된다.
▲쿠팡 개인정보에 대한 빅데이터 감성 연관어 [자료: 인사이트케이]
그렇다면 빅데이터는 쿠팡 개인정보에 대해 어떤 반응을 보일까. 빅데이터 심층 분석 도구인 썸트렌드(SomeTrend)로 11월 29~30일 동안 쿠팡 개인정보에 대한 빅데이터 감성 연관어를 도출해 보았다. 쿠팡 개인정보에 대한 빅데이터 감성 연관어는 ‘피싱’, ‘보이스피싱’, ‘안전하다’, ‘진심’, ‘피해’, ‘범죄’, ‘안전’, ‘보상’, ‘우려’, ‘심려’, ‘충격’, ‘위험’, ‘해소하다’, ‘불안하다’, ‘신속하다’, ‘불안’, ‘다행’, ‘귀찮다’, ‘심려끼치다’, ‘의문’, ‘최선노력다하다’, ‘의심’, ‘충격적’, ‘불안감’, ‘우려하다’, ‘이상하다’, ‘조치취하다’ 등으로 나타났다(위 그림).
쿠팡 개인정보에 대한 빅데이터 감성 연관어 결과를 놓고 보면 쿠팡의 이번 개인정보 유출에 대한 민심 이반이 매우 심각한 것으로 드러나고 있다. 게다가 ‘피싱’, ‘보이스피싱’, ‘충격’, ‘위험’, ‘불안’ 등으로 볼 때 2차 또는 3차 피해를 우려하는 목소리도 상당히 높은 것으로 분석된다.
▲배종찬 연구소장 [자료: 인사이트케이]
쿠팡의 개인정보 유출은 인증키 방치가 주요 원인으로 지적되고 있다. 쿠팡은 토큰 서명키 유효 인증 기간에 대해 “5~10년으로 설정하는 사례가 많다는 것으로 알고 있다”면서 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 설명하고 있다. 하지만 정확한 유효 기간에 대해서는 수사 중이라는 점을 내세워 밝히지 않고 있다. 서명키는 출입증을 찍어주는 ‘도장’의 개념이다. 많은 고객 정보의 보안이 달린 문제인데 도장까지 ‘팡팡’ 뚫린 쿠팡 참사가 그저 아찔할 뿐이다. 이 참에 어느덧 대기업 반열에 성큼 오른 쿠팡의 문제 해결능력을 예의주시하고자 한다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
