김승주 고려대 정보보호대학원 교수가 6일 서울 여의도 국회의원회관에서 열린 ‘쿠팡 해킹 및 개인정보 침탈 사고에 대한 국회 좌담회’에서 발제를 진행하고 있다. 사진=권하영 기자
6일 서울 여의도 국회의원회관에서 열린 ‘쿠팡 해킹 및 개인정보 침탈 사고에 대한 국회 좌담회’에서 발제를 맡은 김승주 고려대 정보보호대학원 교수는 현행 사이버 보안 체계가 이미 한계에 도달했다고 진단했다.
김 교수는 국정원이 공공기관 전반의 사이버 보안을 관할하도록 규정한 현행 국정원법 제4조에 대해 “전문성 저하와 권한 남용 논란을 동시에 키우는 구조”라고 지적했다. 그는 “한국은 이미 국가 배후의 고도화된 해커들이 지속적으로 공격하는 환경에 놓여 있지만, 국정원은 정부 업무 시스템인 ‘온나라’조차 충분히 방어하지 못했다”며 기술 역량과 인력 구조의 한계를 짚었다.
대안으로 김 교수는 미국식 ‘데이터 중요도 기반 분업 모델’을 제시했다. 미국은 기밀·안보 데이터는 국가안보국(NSA)이, 비기밀 정보와 기반시설 보호는 사이버보안·인프라보안국(CISA)이 담당한다. 이를 바탕으로 그는 △국정원은 국방·외교·안보 등 고난도 국가 안보 영역에 집중하고 △과기정통부와 한국인터넷진흥원(KISA)이 민간뿐 아니라 정부의 개인정보·공공 안전 영역까지 맡는 방향으로 거버넌스를 재편해야 한다고 강조했다.
◇3000명 저장됐으니 유출도 3000명? “법적 정의 왜곡”
쿠팡이 개인정보 유출 규모를 축소 발표하고 있다는 비판도 제기됐다. 앞서 쿠팡은 유출 피의자의 노트북을 자체 분석한 결과 3000여 명의 정보만 저장돼 있었다는 점을 들어 유출 범위를 한정하려 했다.
그러나 김 교수는 이를 “개인정보보호법에 대한 오해이자 남용”이라고 일축했다. 표준 개인정보보호 지침에 따르면 개인정보 유출은 ‘해당 데이터가 처리자의 관리 통제권을 벗어나 있는 상태’를 의미하기 때문이다. 김 교수는 “용의자가 서명키를 갖고 나가 고객 계정에 접근할 수 있는 액세스 토큰을 임의로 만들 수 있게 된 시점부터 이미 관리 통제권을 벗어난 것”이라며 “최소 유출 규모는 3300만 명 이상으로 봐야 한다”고 분석했다.
한편 쿠팡은 전날 이번 사고와 관련해 기존에 발표된 3370만 건 외에 16만5000여 건의 계정 정보가 추가로 유출됐다고 밝혔다.
◇호텔 마스터키 복사 방치한 셈…“보안 과실 명백”
기술적 관점에서도 쿠팡의 보안 과실이 명확하다는 지적이 나왔다. 이번 사태의 핵심은 전직 개발자가 퇴사 과정에서 고객 계정 접근 권한을 생성할 수 있는 ‘서명키’를 외부로 반출했다는 점이다.
김 교수는 이를 호텔에 빗대 “마스터키를 가진 직원이 퇴사하면서 키를 복사해 나갔고, 이후 언제든 방키를 만들어 고객 객실에 출입할 수 있었던 상황”이라고 설명했다. 글로벌 보안 기준에 따르면 서명키는 키 관리 시스템(KMS)이나 하드웨어 보안 모듈(HSM) 내부에서만 존재해야 하며, 개발자 개인이 복사하는 것 자체가 원천적으로 차단돼야 한다는 것이다.
김 교수는 “쿠팡 역시 청문회 과정에서 이러한 보안 통제 실패를 인지하고 개선을 약속했다”며 “이번 사건은 단순한 외부 해킹이 아니라 내부자 통제 실패와 글로벌 보안 기준 미준수가 겹친 구조적 사고”라고 평가했다.
아울러 정부 조사기관의 입회 없이 쿠팡이 자체적으로 데이터를 이미징해 제출하고, 포렌식 원본 공유를 미루는 등 이른바 ‘셀프 조사’ 논란을 자초한 점 역시 신뢰 회복을 위해 조속히 해소해야 할 과제로 지목됐다.
