시큐리티팩트
댓글 0
기사입력
: 2025.12.03 10:05
[시큐리티팩트=김상규 기자] 쿠팡이 수준급의 보안 인증과 보안 인력을 확보했음에도 초대형 고객 정보 유출 사고가 발생한 것을 두고 여러 말이 나오고 있다. 쿠팡은 지난달 29일 고객 계정 약 3천370만개 정보가 유출됐다고 발표하면서 이름과 이메일, 전화번호, 주소, 일부 주문정보 등의 개인 정보가 유출됐다고 밝혔다.
3일 쿠팡이 자사 프라이버시센터 홈페이지에 공개한 자료에 따르면 회사는 정보보호·개인정보보호 관리체계(ISMS-P)를 비롯해 ISO/IEC 27001(정보보호경영시스템)·27701(개인정보보호관리체계)·27017(클라우드 보안 관리체계), APEC·Global CBPR, PCI DSS, ePrivacy(프라이버시) 등 7개의 국내외 보안·프라이버시 인증을 갖추고 있다.
ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다. ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 관리체계 국제표준이다. 약 90개 항목에 대한 심사를 통과해야 인증을 받을 수 있을 만큼 고난이도 인증이다.
APEC·Global CBPR은 개인정보를 국제 기준에 따라 안전하게 처리하고 국경 간 전송 요건을 충족했음을 검증하는 인증이다. ePRIVACY 인증은 웹사이트의 개인정보 보호 법규 준수와 안전한 처리 여부를 평가하는 제도다. 이 밖에 PCI DSS는 신용카드 회원 데이터 보호 강화를 위해 마련된 국제 결제 데이터 보안 표준이다.
쿠팡은 보안 인력도 수준급 규모를 자랑한다. 브랫 매티스 쿠팡 최고정보보안책임자(CISO)에 따르면 사내 보안 조직에 약 200명의 인력이 근무하고 있다. 한국인터넷진흥원(KISA) 정보보호 공시상 네이버(130여명), 카카오(90여명)보다 많고 SK텔레콤(220여명)과 비슷한 수준이다.
그럼에도 초대형의 고객 정보 유출 사고가 발생하며 최고 수준의 보안 인증도, 수준급 규모의 보안 인력도 무용지물로 전락했다. 무용지물로 만든 건 ‘우수한 보안 인증’도 ‘최고급 인력’도 아닌 바로 ‘부실한 내부 관리 체계’였다. 지금까지 나온 보도와 발표를 종합하면 전직 직원에 의해 정보가 유출된 것으로 전해졌다. 지난해 12월 퇴사한 내부자가 예전 보유했던 키(Key)로 시스템에 접근했다.
쿠팡 측은 "내부 프라이빗 사이닝 키(서명 키)가 유출됐으며 이 키로 서명된 위조 액세스 토큰으로 API 인증이 가능해졌다"고 시인했다. 서명 키는 시스템이 "정상 사용자가 맞다"고 판단하도록 토큰에 전자서명을 붙이는 데 쓰는 내부 비밀키를 말한다. 즉 공격자가 훔친 서명 키로 직접 출입증(토큰)을 발급해 정상적인 사용자인 척 시스템을 드나든 것이다.
이와 관련해 전문가들은 인증 제도가 기업의 보안 체계 성숙도를 일정 수준 보증하는 역할을 하지만, 내부자 통제·접근권한 관리 같은 '실질적 리스크'는 별도의 관리 체계를 요구한다고 지적한다. 인증 취득을 통해 '보안 수준을 충족했다'는 외형을 갖추는 것과 실제 사고를 막는 것은 별개라는 것이다.
과방위 소속 최수진 의원(국민의힘)은 "IT 인력을 많이 불러놓고 보안이 철저한 척했던 것은 다 가식이었나"라며 "내부 관리를 못 하고 있다는 건 아주 심각한 문제"라고 지적했다.
한편 이 와중에 쿠팡의 주요 경영진이 주식을 대규모로 매도한 사실이 알려지며 ‘쿠팡 고객의 공분’을 사고 있다. 3일 미국 증권거래위원회(SEC) 공시에 따르면 지난달 쿠팡의 주요 임원들은 보유 주식 매도를 잇따라 신고했다.
프라남 콜라리 전 부사장은 지난달 17일 쿠팡Inc 주식 2만 7388주를 매도했다. 매각 가치는 77만 2000달러(약 11억 3000만원)였다. 거랍 아난드 쿠팡 최고재무책임자(CFO)도 지난달 10일 쿠팡 주식 7만 5350주를 주당 29달러에 매도했다고 신고했다.
쿠팡 측은 “보고된 주식 매도는 지난해 12월 8일에 채택한 ‘Rule 10b5-1’ 거래 계획에 따라 이뤄진 것”이라며 “해당 계획은 주로 특정 세금 의무를 충족하기 위해 마련된 것”이라고 설명했다.
Rule 10b5-1은 일종의 거래 계획이다. 내부자가 비공개 중요 정보와 무관하게 사전에 정해둔 일정·조건에 따라 자동으로 주식을 매도·매수할 수 있도록 하는 제도다.
쿠팡 측의 해명에도 불구하고 일각에선 대규모 개인정보 유출 와중에 쿠팡의 주요 전현직 임원들이 보유 주식을 처분한 것은 부적절한 게 아니냐는 의견이다.
