"보안 원칙 무너진 쿠팡, 3중 방어선이 무용지물로" 작성일 12-04 41 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">전문가들 한 목소리로 질타 <br>관리·통제 허술… 데이터 다운로드 이상행위 탐지도 부실 <br>인증키 자동 로테이션·접근로그 실시간 감시등 조치 필요</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="zxHBzVqFtV"> <p contents-hash="4801243713ce086e28ddb501eaf3ba401ec31461e7fa3509a09f37f76b6fa15b" dmcf-pid="qKCt5U1yZ2" dmcf-ptype="general"> 올들어 쿠팡 등에서 대규모 개인정보 침해사고가 잇따라 발생한 데 대해 보안전문가들은 인증 및 접근권한 통제와 같은 기본 보안원칙을 지키지 않은 탓이라고 입을 모았다.</p> <p contents-hash="1395eabd835ee5efa78596c15a5d8b75209653392f31314827f0bef0e13cd24f" dmcf-pid="B9hF1utWH9" dmcf-ptype="general">홍준호 성신여대 융합보안공학과 교수는 3일 "퇴사자가 외부에서 접근해 본인의 인증권한을 행사한 정황이 보인다는 점에서 인증토큰을 활용했을 가능성이 매우 높다"며 "접근통제 및 권한관리 등 개인정보 보호를 위한 안전조치가 적절히 이뤄지지 않은 게 가장 큰 문제"라고 했다.</p> <p contents-hash="c2f9ef37f08b5e63c75fe5b01c5ddaf5acdd6556b85428e407cf843dd03bd2c4" dmcf-pid="b4TU0BpX1K" dmcf-ptype="general">홍 교수는 "개인정보 취급자는 원칙적으로 망분리된 환경에서 지정된 단말기로만 시스템에 접근해야 하고 대량의 데이터를 다운로드할 때 반드시 트래픽 증가나 이상행위가 탐지돼야 한다"며 "이번 사건은 이같은 보안관리 체계가 제대로 작동하지 않은 점이 문제의 핵심"이라고 했다.</p> <p contents-hash="eb27b76d7ec530c6786e055f802ffb11a53b6f113e4684f7a987fb042cb55834" dmcf-pid="K8yupbUZ5b" dmcf-ptype="general">내부시스템 관리가 최우선이라는 지적도 나왔다. 정보보안 전문기업 스틸리언의 박찬암 대표는 "해킹사고 발생시 가장 먼저 살펴보는 게 내부자 문제"라며 "'아무것도 신뢰하지 않고 모든 접근을 검증하라'는 제로트러스트 관점에서 시스템을 관리해야 했다"고 지적했다.</p> <figure class="figure_frm origin_fig" contents-hash="3b83e44ecfadeb5bdeeda449db60c5e4b161d0fbcf895663b360f3c53e200638" dmcf-pid="96W7UKu5XB" dmcf-ptype="figure"> <p class="link_figure"><img alt="서울 송파구 쿠팡 본사의 모습. /사진=뉴시스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/04/moneytoday/20251204040152699iqqa.jpg" data-org-width="1200" dmcf-mid="7RYzu971Xf" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/04/moneytoday/20251204040152699iqqa.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 서울 송파구 쿠팡 본사의 모습. /사진=뉴시스 </figcaption> </figure> <p contents-hash="8ebd38304f7fc3ee622e6986132e06e47d4f9548da1fa0ca694c6c7648f7fb39" dmcf-pid="2PYzu971Hq" dmcf-ptype="general"><br> 사람이 아닌 시스템을 통한 보안이 구동될 수 있는 환경을 마련하는 게 중요하다는 지적도 있다. 최운호 서강대 메타이노베이션센터장(교수)은 "데이터 보호의 핵심은 암호화지만 암호화한 데이터도 인증키가 안전하게 관리되지 않으면 무용지물"이라며 "쿠팡 사태는 권한관리와 내부통제, 암호화 3중 방어선이 모두 무너진 사례"라고 지적했다.</p> <p contents-hash="af923db35b3e709d4fc346aec23523a7b0421d87f10cccc62b32e9cdd9ec5fd9" dmcf-pid="VQGq72ztGz" dmcf-ptype="general">최 교수는 "해외 빅테크(대형 IT기업)들은 인증키를 최소 90일마다 교체하는데 비해 한국은 그렇지 않다"며 "인증키 자동 로테이션 등을 통해 보안을 강화하고 민감정보는 강제로 암호화하며 접근로그를 실시간 감시하는 등의 조치가 필요하다"고 했다.</p> <p contents-hash="ecd63ccd60998ae4c85cc2f6218a9d576e5bc6c582f21b393ef1f46bf3613c01" dmcf-pid="fRZKB4b0X7" dmcf-ptype="general">코로나19 사태를 거치며 원격·외부접속이 확대되고 클라우드 컴퓨팅 활용이 늘어나는 환경에서 인증 및 권한관리 강화가 더 중요해졌다는 의견도 나온다. </p> <p contents-hash="d15ca715bedf6d5a8af993d8d429f8f651aa11b32ccb3104443503054e8988c4" dmcf-pid="4e59b8KpGu" dmcf-ptype="general">배환국 정보보호산업협회 수석부회장은 "최근 발생한 개인정보 유출사고는 기업보안의 가장 취약한 고리가 여전히 계정탈취와 인증우회에 있다는 사실을 보여준다"며 "디지털 업무환경이 복잡해질수록 공격자는 사용자의 신뢰를 악용하고 인증체계의 작은 틈을 통해 내부로 침투한다"고 했다.</p> <p contents-hash="188fa5f9ee14b81fcb342c27e1c268b284e4579103d2b6a06101f1ee334f72d8" dmcf-pid="8d12K69UZU" dmcf-ptype="general">배 부회장은 "보안은 규제요소가 아니라 기업의 연속성과 신뢰를 지탱하는 기반"이라며 "기업은 단일인증이나 네트워크 기반 신뢰에 의존해서는 안되고 신원 및 접속행위를 지속검증하는 제로트러스트 구조로 전환해야 한다"고 강조했다. </p> <p contents-hash="446be5904cbc6ca91b75f741edbe20de8ff0f62b6c551b7f6dc33bad0ed9eed8" dmcf-pid="6JtV9P2uYp" dmcf-ptype="general">황국상 기자 gshwang@mt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 '장관급' 박진영, 두 집 살림 끝판왕…'딴따라' 본업 모드 [MD피플] 12-04 다음 "영자 배제했다" 상철, 영자 선택받고는 "누난 내 여자니까" 고백 12-04 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
