3,370만명의 개인 정보가 유출된 쿠팡이 사이버 보안 허점을 사전에 파악하고 있었던 것으로 추정되는 보고서가 공개됐습니다.

오늘(14일) 국회 과학기술정보방송통신위원회(과방위) 소속 이준석 개혁신당 의원실에 따르면, 쿠팡은 최근 국회에 지난 3월 실시한 해킹 방어 대응 훈련 결과 보고서를 제출했습니다.

이 보고서는 쿠팡이 컨설팅 기업인 액센츄어에 의뢰해 사이버 보안 사고 발생 시 대응 능력을 점검하기 위해 모의 훈련을 실시한 결과를 담고 있습니다.

액센츄어는 쿠팡 물류센터에서 사이버 공격이 발생할 경우 보안운영통합(SecOps) 관제가 언제, 어떻게 개입하는지를 중심으로 쿠팡의 사이버 공격 대응 능력을 살폈습니다.

보고서는 쿠팡의 사이버 공격 대응 능력 가운데 몇 가지 부분을 확실한 약점으로 꼽았습니다.

우선 위기관리 절차가 문서화되지 않고 구성원 개인의 역량에 의존하거나 문서도 개인별로 나뉘어 있다고 지적하면서, 모의 훈련 동안에는 문제가 없었지만 개선되어야 할 부분이라고 강조했습니다.

실제로 이번 개인정보 유출 사고에서도 이 부분이 문제가 됐습니다.

개인정보 유출 혐의자는 인증 부서 소속 개발자로 키 개발에 필요한 권한을 가지고 있었습니다.

이 개발자의 재직 기간은 2022년 11월 16일부터 올해 1월 1일까지였지만, 문제가 된 키는 2024년 4월 이후에 만들어져 지난달 19일에야 회수된 것으로 파악됐습니다.

보고서는 쿠팡의 보안운영통합 관제가 제대로 작동하지 않는다는 점도 지적했습니다.

사이버 공격이 확인되고 보안 이슈로 판별이 난 이후에도 사고 지휘가 어떻게 이뤄져야 하는지 명확한 기준이 없다는 지적입니다.

보고서는 "보안운영통합 관제 개입 시점에 대한 명확한 기준이 없을 경우, 사이버 공격이 장기간 탐지되지 않은 채 지속돼 공격자가 활동을 확대할 가능성이 커진다"며 "데이터 수집 부족과 비효율적인 분석으로 인해 사고 대응이 불충분해지고, 결과적으로 근본적인 위협 제거가 제대로 이뤄지지 않을 수 있다'고 지적했습니다.

실제로 쿠팡은 대규모 개인정보가 유출된 사실을 5개월 넘게 파악하지 못했습니다.

쿠팡은 국회에 제출한 자료에서 "용의자는 유출된 프라이빗 키로 정상 서명된 토큰을 사용해 올해 6월부터 여러 IP에서 낮은 볼륨으로 무단 분산 접근해 개인정보를 유출한 것으로 파악하고 있다"고 밝혔습니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

오주현(viva5@yna.co.kr)