"일반기업 수준에도 미달"…보안업계, 쿠팡 '서명키 관리' 방식 질타 작성일 12-04 35 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">외부 아닌 '내부통제' 원칙…"인감도장 갖고 논 것" <br>매출 대비 저조한 투자…게임사보다 낮은 수준</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="xFx311YChO"> <p contents-hash="e2a38c2858339f0762faf182fb3e37b774a26541c53c478b9b489d7299b1e34b" dmcf-pid="ygyaLLRfls" dmcf-ptype="general">[아이뉴스24 박정민 기자] 쿠팡 대규모 개인정보 유출 사고와 관련해 '서명키' 관리 등 쿠팡의 허술한 보안 실태에 대한 보안업계의 지적이 잇따르고 있다. 핵심 보안 장치에 대한 내부통제가 지켜지지 않았으며, 정보보호 투자도 매출 대비 저조해 보안에 대한 쿠팡의 미흡한 인식을 보여준다는 비판이다.</p> <figure class="figure_frm origin_fig" contents-hash="9b99eee1c053c646dd1b13137da475b681268d0b8c993303a145c9649b4dd441" dmcf-pid="WaWNooe4Wm" dmcf-ptype="figure"> <p class="link_figure"><img alt="국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3370만건이 넘는 대규모 정보 유출 사고가 발생했다. 사진은 30일 서울 송파구 쿠팡 본사. [사진=연합뉴스]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/04/inews24/20251204080114911lkky.jpg" data-org-width="580" dmcf-mid="P3x311YCCC" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/04/inews24/20251204080114911lkky.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3370만건이 넘는 대규모 정보 유출 사고가 발생했다. 사진은 30일 서울 송파구 쿠팡 본사. [사진=연합뉴스] </figcaption> </figure> <p contents-hash="e7d9eb743635fd805f469e022df61705995c5d32adf47c60b8c01c1849c23276" dmcf-pid="YlzSCCwavr" dmcf-ptype="general">4일 보안업계에 따르면 쿠팡 개인정보 유출 사고는 퇴사한 전(前) 직원이 퇴사 전 핵심 보안장치인 서명키를 탈취해 데이터베이스(DB)에 접근할 수 있는 '인증토큰'을 위조하는 방식으로 이뤄졌다.</p> <p contents-hash="b3cb5c66022a071215b772bda7650aec50f1238edd27b808605103571aa7eafc" dmcf-pid="GSqvhhrNhw" dmcf-ptype="general">이를 두고 쿠팡의 서명키 관리 방식이 기본 수칙과 동떨어져 있다는 비판이 나온다. 인증토큰을 생성할 수 있는 서명키의 경우 내부 하드웨어로만 접근할 수 있는 것이 원칙이며, 외부로 유출되지 않아야 한다. 서명키 유효기간 역시 통상 3년 미만으로 설정하는 것이 일반적이나 쿠팡은 유효기간을 5년까지 책정했다.</p> <p contents-hash="089b96810d6453edaee67784ef5bc83b10aecbf0e5e00957a4946e7939fce612" dmcf-pid="HvBTllmjvD" dmcf-ptype="general">황석진 동국대 정보보호대학원 교수는 쿠팡의 서명키 관리 방식을 두고 "회사의 인감도장을 외부에서 맘대로 갖고 놀게 한 것과 같은 행위"라고 지적했다. 김승주 고려대 정보보호대학원 교수는 "글로벌 이커머스 기업을 표방하는 쿠팡의 보안 수준이 국내 일반기업 수준에도 못 미친 것"이라고 꼬집었다.</p> <p contents-hash="a805d33fdf5070e27cd75b89612c602b1f9e6de7a83f2bc8cc99a98e55e330a7" dmcf-pid="XTbySSsAyE" dmcf-ptype="general">장기간 정보 유출에도 쿠팡이 5개월여간 감지하지 못한 것 역시 문제라는 지적도 제기됐다.</p> <p contents-hash="72f350e5a645961afdeff5060e18d1d80adb6679b4afc269f8afdf2279207139" dmcf-pid="ZyKWvvOcCk" dmcf-ptype="general">김승주 고려대학교 정보보호대학원 교수는 전날(2일) 국회 과학기술정보방송통신위원회 현안질의에서 '이상거래탐지시스템(FDS)'을 통해 개인정보 유출을 발견할 수 있었을 것이라고 지적했으나, 브랫 매터스 쿠팡 최고정보보호책임자(CISO)는 FDS에 대해 "보안팀에서 관리하지 않고 있다"고 책임을 회피했다. 보안업계 관계자는 이를 두고 "FDS뿐만 아니라 DLP(데이터 손실 방지 시스템) 등 기본적인 보안 시스템도 작동했는지 의구심이 든다"고 비판했다.</p> <figure class="figure_frm origin_fig" contents-hash="3f2051bd1f20c7bcd3df2a326e3509ecc781c9b4f0925756652f6f74366d9d86" dmcf-pid="5W9YTTIkhc" dmcf-ptype="figure"> <p class="link_figure"><img alt="3일 국회 정무위원회에서 열린 쿠팡 개인정보 유출 사태 관련 현안질의에서 박대준 쿠팡 대표이사가 위원 질의에 답하고 있다. 오른쪽은 브랫 매티스 쿠팡 최고 정보 보호 책임자(CISO). [사진=연합뉴스]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/04/inews24/20251204080115161tuva.jpg" data-org-width="580" dmcf-mid="Q2trEEaeyI" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/04/inews24/20251204080115161tuva.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 3일 국회 정무위원회에서 열린 쿠팡 개인정보 유출 사태 관련 현안질의에서 박대준 쿠팡 대표이사가 위원 질의에 답하고 있다. 오른쪽은 브랫 매티스 쿠팡 최고 정보 보호 책임자(CISO). [사진=연합뉴스] </figcaption> </figure> <p contents-hash="53c49587ad440f72c61518619c530387026d0f72613d5061f09f9ee6512e1fb1" dmcf-pid="1Y2GyyCEhA" dmcf-ptype="general">매출 성장에만 몰두해 보안 투자에는 소홀히 했다는 책임론도 피할 수 없다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면, 쿠팡은 지난해 정보보호 분야에 유통업계 최고 수준인 약 860억원을 투자했다. 그러나 지난해 쿠팡 전체 매출(41조원)에 비하면 0.2% 수준에 그쳤다.</p> <p contents-hash="464cf41ec7cbb529278bb7ce4c867fbb435b5c78e756ac5d06d3fcfee8abf202" dmcf-pid="tGVHWWhDTj" dmcf-ptype="general">매출 대비 정보보호 투자 비율의 경우 전체 업종 평균(1.03%)은 물론, 넥슨(0.56%)·크래프톤(0.35%)·엔씨소프트(1.14%)·넷마블(0.21%) 등 게임사보다도 비중이 낮은 수준이다. 보안업계 관계자는 "이번 사태로 쿠팡이 그간 IT 인프라에 비해 보안 관련 투자에 소홀했다는 비판을 피할 순 없을 것"이라고 밝혔다.</p> <p contents-hash="5adc188fa085c4df83d18a51ce18b5369a40f911b7589386d289f389c5184936" dmcf-pid="FHfXYYlwCN" dmcf-ptype="general">현재 민관합동조사단의 조사가 진행 중인 가운데 쿠팡 사태에 대한 정확한 원인, 피해 규모 파악에는 상당한 시간이 소요될 전망이다. 황석진 교수는 "정확한 원인을 규명하려면 결국 경찰의 디지털포렌식 결과까지 완료돼야 한다"며 "사실상 전 국민이 이용하는 쿠팡의 방대한 DB량을 고려하면 6개월 이상 걸릴 가능성이 높다"고 밝혔다.</p> <address contents-hash="7deacbb6e5d4e93786b827c65748933f90aa962bd5e2ac23dd50a20c201f8da1" dmcf-pid="3X4ZGGSrSa" dmcf-ptype="general">/박정민 기자<span>(pjm8318@inews24.com)</span> </address> </section> </div> <p class="" data-translation="true">Copyright © 아이뉴스24. 무단전재 및 재배포 금지.</p> 관련자료 이전 “비싼 GPU 필요있나? 반값이면 되는데”…엔비디아 겨눈 아마존 ‘가성비 칩’ 12-04 다음 "94년생 양하은의 시간은 거꾸로 간다" WTT피더 파르마 女단식,日꺾고 7년만의 감격우승!WTT홈페이지도 대서특필 12-04 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
