쿠팡, 보안에서 놓친 점들
Source: Byline Network
개인정보보호위원회(이하 개인정보위)는 약 3322만명 고객의 개인정보를 유출한 쿠팡에 역대 최대 규모의 과징금을 부과했다. 개인정보위는 10일 제11회 전체회의를 열고 쿠팡의 안전조치 의무 위반과 법적 근거 없는 개인정보 수집 등에 대해 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다. 이 가운데 개인정보 유출 사고 관련 과징금은 4235억7500만원이다.
개인정보위는 이번 사고를 두고 “고도의 해킹이 아닌 기본적인 안전관리 체계 미비 및 관리 소홀로 인해 발생했다”고 진단했다. 보안 측면에서 보면 ▲인증 서명키 관리 ▲퇴사자 관리 ▲접근통제 ▲이상행위 탐지 ▲로그 보존 등을 제대로 하지 않았다는 점이 핵심이다.
보안 전문가인 김승주 고려대 정보보호대학원 교수는 이번 사안에 대해 “보안에 있어 특히 키 관리 및 접근통제에 있어 기본적인 수칙도 지키지 않았다”고 지적했다. 그는 “쿠팡 사태의 가장 큰 문제는 원래의 암호키와 백업용 키가 동일한 수준으로 보호되지 않았다는 점”이라며 “비밀번호는 엄격하게 보호하면서도, 사실상 동일한 기능을 수행하는 백업용 키는 그보다 낮은 수준으로 관리하고 있었다면 이를 납득할 수 있겠느냐”고 강조했다.
‘백업용 키’인 ‘대체 인증 서명키’ 관리 실패
이번 유출 사고의 시작은 쿠팡의 ‘대체 인증 서명키 관리’ 문제에서 비롯됐다. 쿠팡은 이용자가 ID와 비밀번호로 로그인한 뒤 별도 재인증 없이 서비스를 이용할 수 있도록 인증토큰 기반 인증체계를 운영했다. 인증토큰은 이용자가 한 번 로그인한 뒤 일정 기간 서비스를 계속 이용할 수 있게 해주는 전자 출입증에 가깝다.
이 과정에서 문제가 된 것은 백업 인증 목적으로 운영된 ‘대체 인증’이었다. 공격자는 과거 쿠팡에서 대체 인증 기능을 직접 개발했던 전직 직원이었다. 그는 대체 인증 서명키를 획득한 뒤 회원번호와 조합해 위조 인증토큰을 만들었다. 이후 배송지 관리, 회원정보 수정, 주문목록 페이지 등에 접근해 개인정보를 유출했다.
서명키는 토큰이 정상인지 확인하는 도장과 같다. 서버는 토큰에 찍힌 도장이 맞으면 정상 이용자의 요청으로 판단한다. 그런데 공격자가 이 도장을 손에 넣으면 다른 회원번호가 적힌 출입증도 직접 만들어낼 수 있다. 김승주 교수도 앞서 쿠팡 사고의 출발점을 ‘개인 서명키(Private Signing Key)’로 짚으며 “호텔이 투숙객에게 방키를 만들어 주는데, 이 방키를 만들어주는 키를 직원이 복사해서 들고 나간 셈”이라고 지적한 바 있다.
다만 토큰 기반 인증이나 전자서명 검증 방식 자체가 이례적인 것은 아니다. 많은 서비스는 이용자가 로그인하면 액세스 토큰을 발급하고, 이후 요청 때마다 토큰의 서명을 검증해 이용자 여부를 확인한다. 매번 비밀번호나 2차 인증을 다시 요구하지 않는 것은 이용자 편의와 서비스 운영상 일반적인 방식이다.
핵심은 토큰을 만들 수 있는 서명키가 어떻게 보호됐느냐다. 서명키가 안전하게 보호되지 않으면 공격자는 서버가 정상으로 받아들일 수 있는 토큰을 임의로 만들 수 있다. 김 교수는 “이런 키는 평문으로 복사하거나 반출할 수 없도록 관리해야 하고, 접근권한도 최소화해야 한다. 필요하면 키관리시스템(KMS)이나 하드웨어 보안 모듈(HSM)처럼 키를 장비 내부에 격리해 외부 복제를 어렵게 하는 방식이 필요하다”고 지적한다.
개인정보위도 같은 대목을 문제로 봤다. 개인정보위는 ”쿠팡이 업무상 대체 인증 서명키를 볼 필요가 없는 경우에도 키를 평문으로 열람할 수 있도록 키 관리 시스템을 운영했고, 접근권한 관리도 소홀했다”고 판단했다. 또 ”키 접근과 평문 열람이 가능했던 전직 직원이 퇴사했는데도 서명키를 즉각 갱신하거나 폐기하지 않아 인증 서명키를 안전하게 관리하지 않았다”고도 지적했다.
이에 대해 김 교수는 “원래의 인증 서명키와 백업용 인증 서명키가 동일한 수준으로 보호되지 않았다는 점이 가장 큰 문제”라며 “인증 서명키를 관리했다는 것만으로는 안전하지 않다. 복사·반출 자체가 불가능하도록 설계해야 했다”고 했다.
개인정보가 담긴 페이지에서는 단순히 토큰 서명이 맞는지만 볼 것이 아니라, 해당 이용자가 그 정보에 접근할 권한이 있는지, 요청량이 비정상적으로 많지는 않은지, 짧은 시간에 여러 회원번호를 바꿔가며 접근하는 패턴은 없는지도 확인해야 한다. 회원정보 수정, 배송지 관리, 주문목록 같은 페이지는 일반 상품 조회 페이지보다 더 강한 통제가 필요한 영역이다.
개인정보위는 “쿠팡의 토큰 기반 인증체계가 전자서명 검증만으로 인증을 허용하는 방식이어서, 서명에 사용되는 키 관리에 실패하면 전체 회원계정에 대한 무단 접근을 허용할 수 있었다”고 설명했다. 토큰 인증 방식 자체보다, 그 토큰을 만들어낼 수 있는 인증 서명키를 어떻게 보호했는지가 핵심이라는 것이다.
‘퇴사자 관리’ 내부통제 실패
퇴사자 관리 실패도 이번 사고를 키운 주요 원인 중 하나다. 원래는 직원이 퇴사하면 그가 가지고 있던 계정과 접근 권한 등을 회수해야 한다. 직원이 접근할 수 있었던 인증키, 애플리케이션 프로그래밍 인터페이스(API) 키, 토큰, 비밀값까지 함께 점검해야 한다. 필요한 경우 즉시 폐기하거나 새 키로 교체해야 한다는 것이 보안 전문가들의 의견이다.
이번 사고에서 공격자는 2024년 말 쿠팡에서 퇴사한 직원이었다. 개인정보위는 그가 키 접근과 평문 열람이 가능했던 인물임에도, 쿠팡이 퇴사 이후 인증 서명키를 즉각 갱신하거나 폐기하지 않았다고 판단했다.
이는 단순한 인사관리의 문제가 아니다. 인증 서명키는 전체 인증체계의 신뢰를 좌우하는 값이다. 해당 키에 접근할 수 있었던 사람이 조직을 떠났다면, 그 키는 더 이상 안전하다고 단정하기 어렵다. 퇴사자 계정을 막았더라도 키 자체가 바뀌지 않았다면 위험은 남는다.
쿠팡 개인정보 유출 사고 관련 공격 경로. (출처=개인정보위)
1억4800만회 접근…‘이상행위 탐지’ 실패
‘이상행위 탐지 실패’도 결함으로 꼽힌다. 개인정보위에 따르면 대체 인증 서명키를 획득한 공격자는 2025년 4월부터 6월까지 회원번호를 순차적으로 증가시키며 다수의 위조 인증토큰을 만들었다. 이후 배송지 관리 페이지에 약 1억4800만회 접근해 유효한 회원번호를 파악하고 배송지 정보를 빼냈다. 이 중 6월에만 약 1억1700만회 공격 시도가 있었다.
이 정도 규모의 접근은 정상적인 이용 행태로 보기 어려운 수치다. 특히 공격자는 실제 존재하지 않는 회원의 인증토큰도 대량으로 사용했다. 개인정보위는 ”개인정보가 포함된 페이지에 대한 접속량이 평상시보다 급격히 증가하고 비정상 접속이 다수 있었는데도, 쿠팡이 공격자의 협박 메일을 받은 고객 민원이 접수되기 전까지 이상행위를 인지하지 못했다”고 지했다.
‘차단 임계치 설정’도 문제로 지적됐다. 임계치는 일정 수준을 넘는 비정상 요청을 차단하거나 경고하는 기준이다. 개인정보 페이지에서 짧은 기간 대량 조회가 반복된다면 경고 알림이 떠야 하고 필요하면 접근이 차단돼야 한다. 개인정보위는 쿠팡이 개인정보 포함 페이지에 대한 차단 임계치 설정이 미흡했고, 탐지된 다수의 이상행위에 대해서도 별도 상세 분석을 하지 않아 유출 사고를 막을 기회를 놓쳤다고 판단했다.
사고 이후 ‘로그 보존’ 실패
사고 이후 로그 보존 문제도 드러났다. 보안 사고가 발생하면 로그는 원인과 피해 범위를 확인하는 핵심 증거가 된다. 누가, 언제, 어느 페이지에, 몇 번 접근했는지를 확인해야 유출 범위를 산정할 수 있다.
개인정보위는 조사 착수 직후 접속기록 등 증거자료 보전을 명령했다. 그러나 쿠팡은 약 5개월 분량의 웹 접속 로그를 수동 삭제했고, 6개월이 지나면 로그가 자동 삭제되는 정책도 중단하지 않은 것으로 파악됐다. 이 때문에 최초 유출 시점과 피해 범위 확인이 어려워졌다는 것이 개인정보위 측 설명이다.
자료보전 명령 이후 로그가 삭제된 기간 동안 공격자의 배송지 관리 페이지 접속 횟수는 1900만회였다. 이는 전체 접속 횟수 약 1억4800만회의 약 13%에 해당한다. 로그가 사라지면서