클라우드 ‘마스터키’ 수개월 방치···돈은 벌어도 보안 투자는 뒷전인 ‘테크 기업’의 민낯
거액 과징금 피하려 ‘유출’을 ‘노출’로 둔갑···사과문 내리고 ‘빅세일’ 배너 띄운 도덕적 해이
[예결신문=신세린 기자] "쿠팡은 스스로를 혁신적인 테크 기업이라 칭하지만, 이번 사태에서 드러난 보안 의식은 동네 구멍가게만도 못했습니다. 국민 3370만명의 개인정보가 털리는 동안 쿠팡의 곳간 문은 활짝 열려 있었습니다."
국내 이커머스 시장을 장악한 '공룡' 쿠팡이 창사 이래 최대의 도덕적, 법적 위기에 직면했다. 단순한 전화번호 유출을 넘어 개인의 사생활이 담긴 쇼핑 이력과 주거지의 안전장치인 공동현관 비밀번호까지 해커의 손에 넘어갔다는 사실이 밝혀지며 충격을 주고 있다.
본지는 법조계 및 IT 전문가, 국회 관계자들의 분석을 토대로 이번 쿠팡 사태의 기술적 원인과 사후 대응의 기만성을 심층 해부한다.
■ '마스터키' 헌납하고 수개월간 까막눈…"야금야금 털렸다"
IT 전문가 출신인 이혜민 조국혁신당 의원 분석에 따르면 이번 참사는 쿠팡의 안일한 클라우드 보안 관리에서 비롯됐다. 일반적으로 기업은 데이터 저장소인 클라우드에 접근할 때 '마스터키(최고 관리자 권한)'와 실무자 권한을 엄격히 분리하고 다중 인증 체계를 통해 접근을 통제한다. 호텔로 치면 모든 방을 열 수 있는 마스터키는 금고에 보관하고, 청소 직원에게는 해당 층의 키만 주는 식이다.
그러나 쿠팡은 이 마스터키 관리에 실패했다. 해커는 최고 권한을 탈취해 쿠팡의 데이터 서버를 제집 드나들 듯 오갔다. 특히 해커들은 대량의 데이터를 한 번에 빼낼 경우 발생하는 트래픽 경고를 피하기 위해, 수개월에 걸쳐 데이터를 조금씩 ‘야금야금’ 빼돌리는 치밀함을 보였다.
쿠팡이 자랑하던 보안 관제 시스템은 이 기간 무용지물이었다. 사실상 전 국민의 데이터가 봇짐에 실려 나가는 동안 경영진은 이를 전혀 인지하지 못한 것이다. 이는 쿠팡이 연 매출 40조원을 바라보는 거대 기업으로 성장했음에도 보안을 '투자'가 아닌 '비용'으로 인식해 투자를 안 한 결과라는 지적이 나온다.
■ '쇼핑 패턴'은 공공재가 아니다…정교해진 범죄의 표적
이번 유출이 치명적인 이유는 정보의 '질'에 있다. 유출된 데이터에는 고객의 상세한 '쇼핑 패턴'이 포함됐다. 이는 해커 그룹이나 보이스피싱 조직에게 최고급 먹잇감이다. 과거 "검찰청입니다" 식의 어설픈 피싱과 달리 "어제 주문하신 생수 배송에 오류가 생겨 환불해 드립니다"라며 구체적인 품목을 거론하는 맞춤형 공격이 가능해지기 때문이다.
더욱 심각한 것은 공동현관 비밀번호 유출이다. 새벽 배송의 편의를 위해 고객들이 입력해둔 보안 정보가 범죄자들의 손에 들어갔다. 여성 1인 가구나 노약자 거주지에 대한 주거 침입 등 심각한 오프라인 2차 범죄 가능성이 제기된다.
'법무법인 일로'의 정구승 대표변호사는 "이는 단순한 개인정보 침해를 넘어 국민의 생명과 안전을 위협하는 사안"이라며 "집단소송 참여자가 이미 6만5000명을 넘어선 것은 시민들의 공포가 얼마나 큰지 보여주는 방증"이라고 강조했다.
■ '유출' 아닌 '노출'?…천문학적 과징금 피하려는 말장난
사태 수습 과정에서 쿠팡이 보여준 태도는 '국민 기만'에 가깝다는 비판을 받는다. 쿠팡 측은 초기 대응에서 이번 사태를 정보 '유출'이 아닌 '노출'이라고 표기했다.
한민수 더불어민주당 의원은 이를 두고 "명백한 법적 책임을 회피하려는 꼼수"라고 질타했다. 현행법상 단순 '노출'은 과태료가 최대 3000만원에 불과하지만, '유출'로 인정될 경우 전체 매출의 3%(약 1조2000억원)에 달하는 과징금을 부과받을 수 있어서다. 해커가 정보를 가져간 정황이 명백함에도 '노출'이라는 단어 뒤에 숨어 피해를 축소하고 배상 책임을 면하려 했다는 의혹이 짙다.
사과 방식 또한 소비자를 우롱했다는 지적이다. 통상적인 기업 사과문이 앱 실행 시 팝업창으로 뜨는 것과 달리, 쿠팡은 사과문을 배너를 타고 들어가야만 볼 수 있는 구석에 숨겨놓았다.
심지어 국회 현안 질의일인 어제(4일) 오전, 이 사과문마저 내리고 '연말 빅세일' 광고 배너를 띄우는 행태를 보였다. 불안에 떠는 3370만명의 피해자보다 당장의 매출 방어가 우선이었던 셈이다.
■ "가입은 1초, 탈퇴는 5단계"…소비자는 봉인가
소비자들의 분노는 '탈퇴 운동'으로 번지고 있지만, 이마저도 쉽지 않다. 쿠팡은 가입 절차를 간소화한 반면, 회원 탈퇴는 복잡한 5단계를 거치도록 설계해 놓았다. 이는 소비자의 이탈을 막기 위한 의도적인 '다크 패턴(눈속임 설계)'이라는 비판을 받는다.
전문가들은 이번 사태가 기업의 자율적인 보안 의식 제고만으로는 해결될 수 없다고 입을 모은다. 개인정보보호위원회의 강력한 조사와 함께, 징벌적 손해배상제 도입 등 입법적 보완이 시급하다.
"비밀번호와 2단계 인증 설정 등 개인의 자구책도 중요하지만, 근본적으로는 기업이 보안 실패로 인해 망할 수도 있다는 위기감을 느껴야만 투자가 이뤄질 것"이라는 IT 업계의 경고를 새겨들어야 할 시점이다.
2편 <美엔 로비하고 韓선 군림···'괴물'이 된 쿠팡 금융치료가 '답'>으로 이어집니다.
예결신문 / 신세린 기자 beluga23@naver.com
[ⓒ 예결신문. 무단전재-재배포 금지]
