3367만 개인정보 유출, 퇴사자 서명키가 뚫었다… 정부, ‘전자 출입증’ 검증 시스템 도입 명령하다

국내 최대 이커머스 플랫폼 쿠팡에서 3367만 건이 넘는 개인정보가 유출됐다. 이용자의 이름, 주소, 전화번호는 물론 공동현관 비밀번호까지 노출되어 시민들의 불안감이 커진다. 정부는 이번 사태의 원인으로 지목된 위변조 ‘전자 출입증’ 검증 체계 미흡을 지적하고, 서명키 관리 강화 등 구조적 보안 시스템 개선을 쿠팡에 명령했다.

이번 개인정보 유출 사태는 퇴사한 개발자가 재직 시절 발급받은 서명키를 악용해 발생했다. 공격자는 이 서명키로 위조된 ‘전자 출입증’을 만들어 정상적인 로그인 절차 없이 사용자 계정에 접근했다. 쿠팡의 인증 시스템은 위조된 전자 출입증의 유효성을 검증하는 체계가 없어, 공격자는 퇴사 후 7개월 동안 아무런 제재 없이 서버에 접속할 수 있었다.

공격자는 이용자의 성명과 주소 등이 포함된 배송지 목록을 1억 4805만 회 이상 조회했다. 심지어 공동현관 비밀번호가 포함된 배송지 수정 페이지와 주문 목록까지 들여다봤다. 이는 쿠팡이 모의해킹을 통해 파악한 보안 취약점을 방치하고, 퇴사자의 접근 권한을 즉시 회수하지 않는 등 기본적인 정보보호 관리체계에 구멍이 뚫렸음을 의미한다.

이에 과학기술정보통신부는 쿠팡에 구조적인 해결책을 주문했다. 첫째, 정상 발급 절차를 거치지 않은 전자 출입증을 탐지하고 차단하는 시스템을 도입해야 한다. 둘째, 모의해킹에서 발견된 모든 보안 취약점을 즉시 조치해야 한다. 셋째, 개발자 퇴사 시 서명키를 즉시 폐기하는 등 서명키 발급 및 관리 체계를 전면 강화해야 한다. 또한 쿠팡은 침해사고 신고를 지연하고 조사에 필요한 접속 기록을 삭제한 사실이 확인되어 과태료 부과와 수사 의뢰를 받게 된다.

이번 조치를 통해 기업의 내부자 및 퇴사자에 의한 정보 유출 위협을 원천적으로 차단하는 효과를 기대한다. 단순한 사후 대응이 아닌, 인증 시스템의 근본적인 구조를 개선하고 내부 통제 절차를 강화함으로써 유사 사고의 재발을 막는다. 이는 다른 플랫폼 기업에도 강력한 경고가 되어 전반적인 이커머스 업계의 보안 수준을 한 단계 높이는 계기가 될 것이다. 정부는 쿠팡의 이행 계획을 제출받아 이행 여부를 철저히 점검하고, 미흡할 경우 시정조치를 명령해 정보보호 체계의 실질적인 변화를 이끌어낼 계획이다.