입법조사처가 꼽은 쿠팡 국조 5대 포인트... “내부 통제부터 보상까지 총체적 난국” 작성일 02-02 7 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="BddOORcnmU"> <p contents-hash="5b018244298d6808314104b0a9cff027fe5ea3d94e859ce79418f5c8c68e3d2b" dmcf-pid="bJJIIekLIp" dmcf-ptype="general"><strong>퇴사자 토큰 서명키 유효성·자체 포렌식 정당성·비활성 데이터 관리 등 집중 점검 필요<br>미국 자본시장선 ‘한국은 유출에 익숙하다’ 평가... “국가 안보 위협으로 인식해야”</strong></p> <p contents-hash="1ff8e60c98911cf64c3b20502b27debde23ea03851cbbc6194fcdcf7071c716a" dmcf-pid="KiiCCdEoI0" dmcf-ptype="general">[보안뉴스 조재호 기자] 국민의 약 65%에 달하는 개인정보에 권한 없이 접근한 ‘쿠팡 사태’를 두고, 국회입법조사처가 쿠팡 자체 조사의 이유와 내부 보안 체계 상황 등에 대해 국정조사에서 중점적으로 다뤄야 한다고 주장했다. </p> <p contents-hash="c66e95f2505f6e197bc7d940c9852a64167e49a7e2d37b228fc31d0cdbfb5373" dmcf-pid="9nnhhJDgD3" dmcf-ptype="general">개인정보 침해를 일상적인 일로 보는 시각이 고착되면 대규모 개인정보 유출 반복이 구조적으로 용인될 수 있다는 우려다. </p> <p contents-hash="24d02d75c488eec206c40c174a0aaabc78467b9bafbbdac5bad5430ae0fa1ddd" dmcf-pid="2LLlliwaOF" dmcf-ptype="general">2일 국회입법조사처는 ‘쿠팡 국정조사에서의 개인정보 침해 관련 쟁점’ 보고서를 내고, 국정조사에서 쿠팡의 보안 체계 결함과 사고 대응 과정의 적절성을 중점적으로 다뤄야 한다고 밝혔다. </p> <figure class="figure_frm origin_fig" contents-hash="2044da22a9c8d9e64c6ecf2deeea6df582d98b9a0be1df23e574bd4af968f85c" dmcf-pid="VooSSnrNwt" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/02/552815-KkymUii/20260202164648565egqz.jpg" data-org-width="569" dmcf-mid="qy544XqFDu" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/02/552815-KkymUii/20260202164648565egqz.jpg" width="658"></p> </figure> <div contents-hash="f1c852d7034c8c585eef77efd3e2e21bf4ce6bb4b2203aeb816b0a3bcf1a4ff0" dmcf-pid="fggvvLmjI1" dmcf-ptype="general"> <div> <p>▲쿠팡 개인정보 관련 쟁점 보고서 [출처: 국회입법조사처]</p> </div> 입법조사처는 이번 사태를 단순한 사고가 아닌 “국가 안보 및 사회 안전에 연쇄적인 영향을 미칠 수 있는 위험”으로 규정했다. 쿠팡이 상장된 미국 자본시장에서 ‘한국 소비자들이 개인정보 유출 사고에 상대적으로 익숙하다’며 사태 파장을 축소 해석한 것에 주목, 개인정보 침해에 대한 사회적 불감증을 차단하기 위한 분명한 대응이 필요하다고 지적했다. </div> <p contents-hash="f1a6387c73ffa6acd49ccd1825ef83368f02059354f2d7a17af19e4c843fd8bf" dmcf-pid="4HH22Yu5s5" dmcf-ptype="general">보고서는 국정조사에서 다뤄야 할 5가지 핵심 쟁점을 꼽았다.</p> <p contents-hash="79f42cef415e7b234d36c29509e9085f0339a0f4c045e8f517cc7cdf974117d6" dmcf-pid="8XXVVG71mZ" dmcf-ptype="general"><strong>‘내부 보안 체계의 구조적 결함’</strong>이다. 엄격하게 관리돼야 할 내부자 전용 ‘토큰 서명키’가 퇴직자에게서 회수되지 않고 유효하게 작동했다는 점은 단순 실수가 아닌 전사적 내부 통제 프로세스의 붕괴를 시사한다. 입법조사처는 실시간 탐지·차단 체계가 제대로 작동했는지, 유사한 무단 접근이 추가로 발생할 가능성은 없는지 확인해야 한다고 주문했다.</p> <p contents-hash="36a73b358c4e63ddd6f3f37cf4e46a145f4f12df64a4792286ad13917e50c314" dmcf-pid="6ZZffHztsX" dmcf-ptype="general"><strong>‘자체 조사의 정당성’</strong> 문제다. 수사가 진행 중인 상황에서 쿠팡이 독자적으로 유출자를 특정하고 자체 포렌식을 실시한 배경을 규명해야 한다는 것이다. 특히 자체 포렌식이 특정 진술에 맞춰 범위를 한정해 진행된 것은 아닌지, 수사기관이 확보한 원본 자료와 동일성이 유지되었는지 검증이 필요하다고 지적했다.</p> <p contents-hash="368e2f90f8d49e1ab26f9554d4d5a41e8189f8b22d5fcedc726186d18da35f20" dmcf-pid="P5544XqFwH" dmcf-ptype="general"><strong>‘개인정보 데이터베이스(DB) 관리 실태’</strong>다. 이번 사고에서 유출자가 활성 정보뿐만 아니라 탈퇴 회원 정보 등 ‘비활성 정보’에도 별다른 제약 없이 접근했을 가능성이 제기됐다. 이에 따라 비활성 데이터에 대한 접근 통제가 적정하게 이루어졌는지 점검해야 한다.</p> <p contents-hash="4d0a856d52909d4e8d008bed25ffebbfb180d401c0d5d46c99b8e05b579ff533" dmcf-pid="Q1188ZB3EG" dmcf-ptype="general"><strong>‘통지 과정의 의사결정 구조’</strong>다. 약 3370만 개 계정에 대한 비정상적 접근이 확인되었음에도 ‘유출’이라는 표현을 회피한 판단이 누구에 의해 어떤 기준으로 결정되었는지 책임 소재 확인이 필요하다.</p> <p contents-hash="82074360f8e90ad52e1e999e7f70a10cea69d6479dfbbf21b9d190aad23bd2fc" dmcf-pid="xtt665b0OY" dmcf-ptype="general"><strong>‘피해자 배상 방식’</strong>이다. 입법조사처는 쿠폰 지급 등 계열사 서비스 이용을 전제로 한 쿠팡의 상업적 보상 방식에 대한 적절성 검토와 함께 서비스를 탈퇴했거나 구매이용권을 원치 않는 피해자에 대한 별도 배상 계획이 있는지 점검해야 한다고 제언했다.</p> <p contents-hash="0cb0e4fa8af5650d16c3e584955e88b5206f361caf3353b136a21b980efdd4e2" dmcf-pid="yooSSnrNIW" dmcf-ptype="general">입법조사처는 “개인정보 침해가 일상화되는 시각이 고착화되면 대규모 유출의 반복이 구조적으로 용인될 수 있다”고 밝혔다. 입법조사처는 향후 쿠팡과 관련된 물류 노동, 산업안전, 공정거래 쟁점에 대한 보고서도 순차적으로 발간할 예정이다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 기술수출의 힘…알테오젠, 첫 주주배당 02-02 다음 장애인대표팀, 동계패럴림픽 결단식서 선전 다짐 02-02 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
