[서울이코노미뉴스 박희만 기자] 국내 성인인구 4명 중 3명에 해당하는 3370만명의 개인정보가 유출된 쿠팡 사태의 파장이 갈수록 커지고 있다.
전화번호, 이름, 주소 등 핵심 인적정보가 무작위로 노출된 가운데, 쿠팡의 신고·해명마저 구체적이지 않아 의혹과 혼란이 더해지고 있다.
공개된 정보는 제한적이지만, 쿠팡측 설명을 기반으로 봐도 이번 사태의 핵심 의문점이 여러가지 제기되고 있다.
쿠팡은 1일 “이번 유출은 해외 서버를 통한 비인가 접근에서 비롯된 것으로 추정된다”며 최초 접근시점을 지난 6월24일로 지목했다.
쿠팡은 국내 고객 데이터를 해외 서버에 저장하지 않고 있어, ‘해외 서버’는 실제로는 해외 IP 또는 해외에서 이뤄진 접속을 의미하는 것으로 풀이된다.
쿠팡 관계자는 “접속주소를 추적한 결과, 해외에서 시도된 것으로 확인됐다”고 설명했다.
그러나 무엇보다 비인가 접근방식은 여전히 의문으로 남는다.
쿠팡 내부 관계자에 따르면 무작위 대조 공격이나 백도어 설치 등 일반적인 침투 흔적은 확인되지 않았다.
해킹 공격이 있었다면 이를 명시해야 하지만, 쿠팡은 “비인가 접근”이라는 표현만을 사용하며 정황을 제한적으로 공개하고 있다.
이는 고도 해킹수법을 통한 침입 가능성을 낮게 보는 배경이 되기도 한다.
이같은 상황을 종합적으로 고려하면, 쿠팡 전 직원 또는 불특정 용의자가 내부 접속정보를 확보한 뒤 해외에서 접속했을 가능성이 가장 유력하게 거론되고 있다.
기본적인 해외 IP 차단이나 모니터링이 제대로 작동하지 않았다면, 이는 초유의 보안관리 실패라는 비난을 피할 수없게 된다.
다량의 고객 정보를 단독범행으로 빼낼 수 있는지 여부도 쟁점이다.
경찰은 유출규모를 고려할 때 개인의 단독범행 가능성을 낮게 보고 있다. 중국 국적의 전 직원이 연루된 정황이 있는 만큼, 조직적 공모 가능성도 배제하지 않고 있다.
일각에서는 전문해커가 개입했을 가능성도 조심스럽게 거론하고 있다.
또 다른 핵심의문은 쿠팡이 5개월 동안 유출 사실을 정말 몰랐느냐는 사실이다.
쿠팡은 지난달 18일 처음으로 비인가 접근을 파악했다고 주장하고 있다. 그러나, 최초 접근일인 6월24일부터 약 5개월간 이를 확인하지 못했다는 설명은 설득력이 떨어진다는 지적이다.
지난해에만 정보보호 부문에 861억원을 투자한 쿠팡이 해외 IP 접속조차 감지하지 못했다면, 보안체계 자체에 근본적 문제가 있다는 비판이 나오는 이유다.
정상적인 보안시스템이라면 민감 데이터 서버에 대한 해외 IP 접근 시도가 즉각 차단되거나 실시간 감지가 이뤄져야 한다.
VPN 등 우회접속이라 하더라도 접속기록은 남기 때문에, 5개월 동안 이를 인지하지 못했다는 주장은 보안 투자효과를 무색하게 만들고 있는 셈이다.
대규모 고객 정보가 빠져나가는 과정에서 발생하는 로그 역시 실시간으로 기록되는 만큼, 해당정황을 장기간 놓쳤다면 은폐 여부를 떠나 관리부실이 더 심각한 문제로 지적될 수 있다.
박대준 쿠팡 대표는 “현재 수사가 진행 중이라 상세한 설명이 어렵다”며 “피해범위와 유출내용을 정확히 확정하는 것이 우선이며, 이후 재발방지 대책을 성실하게 마련하겠다”고 밝혔다.