쿠팡 사태, 3중 방어선 모두 무너져…"보안 원칙 지키지 않은 탓" 작성일 12-03 34 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">보안 전문가들 "인증·접근제어 미흡, 인적보안 부재" 등 지적</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="uOOyFR8BGC"> <figure class="figure_frm origin_fig" contents-hash="92030b8d38a922cec464655a159fa23ca6c54a44de55f728d8944f04517664ad" dmcf-pid="7IIW3e6bGI" dmcf-ptype="figure"> <p class="link_figure"><img alt="임종철 디자이너 /사진=임종철 디자이너" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/03/moneytoday/20251203162301708rbmr.jpg" data-org-width="560" dmcf-mid="U2QnEtGhXh" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/03/moneytoday/20251203162301708rbmr.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 임종철 디자이너 /사진=임종철 디자이너 </figcaption> </figure> <p contents-hash="039bbf457e732adf2264efa81582a5e6269b60ba425177bb7849a39b33ef1926" dmcf-pid="zCCY0dPKtO" dmcf-ptype="general"><br>올들어 쿠팡 뿐 아니라 통신사, 금융사 등에서 대규모 침해사고가 잇따라 발생한 데 대해 보안 전문가들은 인증 및 접근권한 통제와 같은 기본적인 보안 원칙이 지켜지지 않은 탓이라고 입을 모았다.</p> <p contents-hash="89e38dd766733050cfb826c6518fa96e5d95b7e49dc6f74e96369f3d251c5b1c" dmcf-pid="qhhGpJQ95s" dmcf-ptype="general">홍준호 성신여대 융합보안공학과 교수는 3일 머니투데이와의 통화에서 "퇴사자가 외부에서 접근해 본인의 인증 권한을 행사한 정황이 보인다는 점에서 인증 토큰을 활용했을 가능성이 매우 높다"며 "접근 통제 및 권한관리 등 개인정보보호를 위한 안전조치가 적절히 이뤄지지 않은 게 가장 큰 문제"라고 했다.</p> <p contents-hash="890e2a50febe10f5b3337fa396287dcb8a55002250ae9cf7f4a5c2cfb21388da" dmcf-pid="BllHUix2Hm" dmcf-ptype="general">홍 교수는 "개인정보 취급자는 원칙적으로 망분리된 환경에서 지정된 단말기로만 시스템에 접근해야 하고 대량 데이터를 다운로드할 때 반드시 트래픽 증가나 이상행위가 탐지돼야 한다"며 "이번 사건에서는 이러한 보안 관리 체계가 제대로 작동하지 않은 점이 문제의 핵심"이라고 했다.</p> <p contents-hash="d770b52a5a757dbfb9e7ee3f8cdb012278e7494014f2bcecc36aeb0bd1908dff" dmcf-pid="bSSXunMVtr" dmcf-ptype="general">내부 시스템 관리가 최우선이라는 지적도 나온다. 정보보안 전문기업 스틸리언의 박찬암 대표는 "해킹사고가 발생할 때 가장 먼저 살펴보는 게 내부자 문제"라며 "'아무 것도 신뢰하지 않고 모든 접근을 검증하라'는 제로트러스트 관점에서 시스템을 관리해야 했다"고 지적했다.</p> <p contents-hash="9a88786fcb8fc98134fc2d808e02a98c9a3660cdd75ff911b6814058fc73da70" dmcf-pid="KvvZ7LRfXw" dmcf-ptype="general">사람이 아닌 시스템을 통한 보안이 구동될 수 있는 환경을 마련하는 게 중요하다는 지적도 있다. 최운호 서강대 메타이노베이션센터장(교수)은 "데이터를 보호하는 핵심은 암호화이지만 암호화된 데이터도 인증키가 안전하게 관리되지 않으면 무용지물"이라며 "쿠팡 사태는 권한 관리와 내부 통제, 암호화의 3중 방어선이 모두 무너진 사례"라고 지적했다.</p> <p contents-hash="aa2358221b664d417de95d8bb970f3c8b5690a2ad1110931dd219157cbe45b5a" dmcf-pid="9TT5zoe45D" dmcf-ptype="general">최 교수는 "해외 빅테크 기업들은 인증키를 최소 90일마다 교체하는 데 비해 한국에서는 그렇지 않다"며 "인증키 자동 로테이션 등을 통해 보안을 강화하고 민감 정보는 강제로 암호화하며 접근 로그를 실시간으로 감시하는 등 조치가 필요하다"고 했다.</p> <p contents-hash="804573490d3727b9e664d6ddfa6c0d11299ba237686cc016cb3df9fcb9afd343" dmcf-pid="2ZZUVkgRXE" dmcf-ptype="general">특히 코로나 사태를 거치며 원격·외부 접속이 확대되고 클라우드 컴퓨팅 활용이 늘어나는 환경에서 인증 및 권한관리 강화는 더 중요해졌다는 의견도 나온다. 배환국 정보보호산업협회 수석부회장(소프트캠프 대표)은 "최근 발생한 개인정보 인출 사고는 기업 보안의 가장 취약한 고리가 여전히 계정 탈취와 인증 우회에 있다는 사실을 보여준다"며 "디지털 업무환경이 복잡해질수록 공격자는 사용자의 신뢰를 악용하고, 인증 체계의 작은 틈을 통해 내부로 침투한다"고 지적했다.</p> <p contents-hash="47ad985df6836aad740000851810cb7050db7f1d9cde68716a11c7a926358ccf" dmcf-pid="V55ufEae5k" dmcf-ptype="general">배 부회장은 "보안은 규제요소가 아니라 기업의 연속성과 신뢰를 지탱하는 기반"이라며 "기업은 더 이상 단일 인증이나 네트워크 기반 신뢰에 의존해서는 안되며 신원 및 접속행위를 지속 검증하는 제로트러스트 구조로 전환해야 한다"고 강조했다.</p> <p contents-hash="e02229b418fe02fef874d9e5a058df52f61de1e9bb492fab2029f8762ce29232" dmcf-pid="f1174DNd1c" dmcf-ptype="general">황국상 기자 gshwang@mt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 송경희 개보위원장 "쿠팡 구조적 과실 확인시 최고 수준 제재 조치" 12-03 다음 AI 시대 디지털 플랫폼 정책 대응 방향 세미나 열린다 12-03 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
