41.37
2.4
 |
3300만개 계정이 유출된 쿠팡 사태로 인해 보안 체계에 대한 경고등이 울린 가운데 앞서 발생한 KT 해킹 사태가 다시 주목받는다. 양사의 유출 사고는 '정보보호 실패' 차원을 넘어 대형 통신·플랫폼 기업들의 뿌리 깊은 보안 불감증과 위기 은폐 관행을 보여준다는 시각이 많다.
수천만명의 개인정보를 다루는 양사가 기본적인 보안 체계조차 무너진 것은 물론 초기 대응 과정에서도 기만적인 행보를 이어가 비판의 목소리가 크다.
3일 IT업계에 따르면 양사의 개인정보 유출 사태는 모두 인증 및 접근 권한 관리의 구조적 허점에서 비롯됐다. 해커들의 기술이 고도화됐다는 점을 감안해도 자체 방어막을 허술하게 관리했다는 비난이 뒤따른다.
기본적인 보안 체계 헛점 보인 KT·쿠팡… 관리 부실 '판박이'
 |
지난 11월 발표된 KT 해킹 사고 중간조사 결과에 따르면 불법 펨토셀(초소형 기지국)을 통한 소액결제 피해 및 개인정보 유출의 근본 원인은 펨토셀 인증 체계의 총체적 부실이었다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있었고 이는 인증서 하나만 복사하면 불법 펨토셀 역시 KT망에 손쉽게 접속할 수 있었던 원인이었다. 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT 망에 접속했던 이력이 있다면 지속적인 접근이 가능했다.
뿐만 아니라 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등이 보안 통제 없이 외주 제작사에 제공됐고 저장 장치에서 쉽게 확인 및 추출할 수 있는 등 중요정보가 무방비로 노출됐다. 내부망 접속 시 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 불법 접근 경로를 방치하기도 했다.
이러한 허점으로 인해 해커는 불법 펨토셀을 장악하여 단말과 코어망 간의 종단 암호화가 해제된 상태에서 ARS, SMS 등 결제 인증 정보를 평문으로 탈취할 수 있었다. KT는 복제폰에 필요한 '인증키' 유출은 부인했지만 그에 못지않게 중요한 '인증 정보'를 탈취당할 수 있는 경로를 스스로 열어둔 것이라는 분석이다.
쿠팡의 경우 내부 직원 소행이라는 점에서 충격이 컸다는 평가다. 외부 공격이 아닌 보안 인력 관리 체계가 무방비였다는 것이다. 고객 정보를 유출한 직원은 퇴사한 인증 관련 담당자로 알려졌는데 해당 직원은 퇴사 후에도 인증 토큰 및 서버 서명키를 악용하여 약 5개월간 정상적인 로그인 없이 쿠팡 서버에 무단 접근한 것으로 보인다.
인증 토큰은 로그인 시 발급되는 '시스템 출입증'과 같은 역할을 하며 토큰 생성에 필요한 것이 서명키인데 쿠팡이 핵심적인 서명키에 대한 퇴사 직원의 권한을 회수하거나 갱신하지 않고 장기간 방치했을 가능성이 제기된다.
쿠팡은 2024년 기준 정보보호 투자금액을 약 860억원으로 공시하며 "동종 업계에서 정보보호에 가장 많은 금액을 투자한다"고 주장했음에도 퇴사자 계정과 접근 권한을 즉시 회수하는 절차조차 부재해 대형 사고를 자초했다는 지적이다.
김승주 고려대 정보보호대학원 교수는 지난 2일 오전 국회 과학기술정보방송통신원회 현안 질의에서 "호텔 방 키를 발급하는 비밀번호를 내부 개발자가 갖고 나간 것과 같다"며 "이 비밀번호를 이용해 호텔 방 키를 무한으로 생성해 고객 정보를 빼낸 것"이라고 말했다. 비밀번호를 몰라도 시스템이 사용자를 정상적인 고객으로 인식하게 만드는 '프리패스' 권한이 탈취됐다고 꼬집었다.
KT의 경우도 이와 상당히 유사했다. 펨토셀에 탑재된 동일한 인증서와 장기간 유효한 중요 정보는 '호텔 방 키를 발급하는 비밀번호'와 같은 역할을 수행했다. 모든 펨토셀이 '동일한 마스터 키'를 사용한 만큼 해커는 그 키를 한 번만 탈취하거나 복제하면 KT망에 무단으로 접속할 수 있는 '프리패스 권한'을 무한히 생성할 수 있었다. 이는 곧 결제 인증 정보를 마음껏 빼낼 수 있는 통로를 스스로 열어준 것과 같다는 지적이다.
양사, 초기 피해 규모 정정에 은폐 의혹까지… 초기 대응 질타 봇물
 |
두 기업은 사건 발생 직후 보여준 행태에서도 여론의 질타를 받았다. KT는 정부 조사 과정에서 지난해 서버 해킹 사실을 알고도 당국에 신고하지 않고 은폐한 정황이 드러났다. 민관합동조사단은 KT가 2024년 3월부터 7월까지 BPF도어 등 은닉성이 강한 악성코드에 서버 43대가 감염된 사실을 자체적으로 파악하고도 이를 신고하지 않고 자체적으로 악성코드를 삭제 조치한 사실을 확인했다. 감염된 서버 중 일부에는 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 가입자 개인정보가 저장되어 있었다.
여기에 악성코드 감염 사실을 인지했음에도 지연 신고에 그치지 않고 정부 조사단에게 해킹 의혹 관련 서버의 자료 제출을 요구받자 "해당 서버들이 모두 폐기됐다"고 허위 보고하는 등 조사를 방해한 정황까지 드러나 위계공무집행방해 혐의로 경찰에서 수사 중인 상황이다. 실제로 보고 당일에도 해당 서버 일부가 살아있었고 폐기 서버 백업 로그를 보고하지 않은 행위로 조사 자체를 지연시키려는 고의성이 있다고 정부는 봤다. KT는"악성코드 발견 사실을 지연 신고해 송구하다"고만 밝혀 비판이 거셌다.
쿠팡 역시 초기 대응 과정에서 피해 규모를 대폭 축소하여 신고했다가 정부 조사로 사실이 밝혀져 곤욕을 치렀다. 내부 직원이 고객에게 협박성 이메일을 보낸 정황이 확인되고 소비자의 항의를 받고서야 자체 조사에 나섰다. 한국인터넷진흥원(KISA)에 침해 사고를 최초 신고할 당시 자체 파악한 피해 규모는 4536개 계정 수준에 불과했다. 정부 합동 조사단이 현장 조사를 진행한 결과 무단 접근 정황은 2025년 6월24일부터 시작됐고 유출 규모는 약 3370만건으로 늘었다.
쿠팡은 "결제 정보, 신용카드 번호, 아이디·비밀번호 등 로그인 정보는 유출되지 않았다"고 선을 그었지만, 이름, 이메일, 전화번호, 배송지 주소 등 민감한 개인정보 조합이 대한민국 성인 4명 중 3명꼴로 유출된 역대 최대 규모의 사고라는 평가다. 최초 신고 규모와 실제 유출 규모 간의 엄청난 격차는 쿠팡이 사건을 인지하지 못했거나 또는 고의적으로 축소하려 했다는 지적이 크다.
정부는 강력 대응을 천명했다. 배경훈 부총리 겸 과학기술정보통신부 장관은 최근 국회 과방위 현안 질의에서 KT와 쿠팡 사태를 모두 언급하며 강력한 제도 개선을 예고했다. KT 해킹 조사와 관련해 "조만간 합동조사단 결과가 나오면 위약금 면제, 영업정지 같은 제재가 가능한지 검토를 진행하도록 하겠다"고 밝히기도 했다.
