3370만명 정보 5개월간 무방비 내부시스템 접근 권한 부실관리에 “퇴직 직원이 기존 인증키 악용” 지적 대통령실, 징벌적 손배 강화 검토
쿠팡의 대규모 개인정보 유출 사태 이후 2차 피해를 우려해 비밀번호를 변경하는 소비자들이 늘고 있다. ‘탈팡’(쿠팡 탈퇴하기)이나 ‘갈팡’(쿠팡에서 갈아타기)에 나선 이용자들도 잇따르고 있다. 송은석 기자 silverstone@donga.com
광고 로드중
쿠팡의 대규모 개인정보 유출 핵심 원인으로 ‘액세스 토큰’과 ‘인증(서명)키’에 대한 관리 부실이 지목됐다. 액세스 토큰은 내부 시스템에 접근할 수 있는 출입증이며, 인증키는 이 출입증이 위조가 아니라고 찍어주는 일종의 인증 도장이다. 출입증과 인증 도장이 모두 허술하게 관리되면서 3370만 명의 개인정보가 5개월간 쉽게 털린 것이다.
1일 더불어민주당 소속 최민희 국회 과학기술정보방송통신위원장이 쿠팡에서 제출받은 자료에 따르면 정보 유출자로 추정되는 전 중국인 직원은 인증 관련 업무 담당자였다. 최 위원장은 이날 “인증 관련 담당자에게 발급되는 액세스 토큰 인증키가 장기간 방치돼 담당 직원이 퇴사 후에도 이를 악용했다”고 지적했다. 통상적으로 인증 업무 담당자에게는 업무 활용을 위해 액세스 토큰 인증키가 발급된다. 토큰은 생성과 폐기가 빨라 1시간 이내로 완료되기도 한다. 반면 토큰을 만들 때 필요한 인증키는 유효기간이 상대적으로 긴 편이다. 그런데 이번 사건에서 쿠팡은 중국인 직원의 퇴사 이후에도 인증키를 폐기하지 않았다. 퇴사한 직원이 고객 개인정보에 자유롭게 접근할 수 있었던 이유다. 보안업계 관계자는 “사실상 도둑에게 집 열쇠를 넘겨준 셈”이라고 지적했다.
쿠팡 측에서는 인증키 유효 인증기간에 대해 “키 종류에 따라 다양하지만 업계에서는 5∼10년으로 설정하는 사례가 많은 걸로 알고 있다”고 답했다.
광고 로드중
이날 강훈식 대통령비서실장은 쿠팡 사고에 대해 “징벌적 손해배상 제도가 사실상 작동하지 않고 있는 현실은 대규모 유출사고를 막는 데 한계가 있다”며 개선 방안 검토를 지시했다. 개인정보보호법에 따라 고의 또는 중대한 과실로 개인정보가 침해될 경우 손해액의 5배 이하 범위에서 징벌적 손해배상을 물릴 수 있지만 실효성을 높이겠다는 취지다. 국회 과방위는 2일 쿠팡 박대준 대표와 최고정보보호책임자(CISO)를 증인으로 불러 긴급 현안질의를 열기로 했다.
남혜정 기자 namduck2@donga.com
조동주 기자 djc@donga.com
박종민 기자 blick@donga.com