2025. 11. 20 쿠팡이 밝힌 바에 따르면 이름·연락처·이메일등
기본 인적 정보는 물론, 배송주소록이나 주문내역까지 모두 해커가 탈취한 것으로 파악되었습니다.
국민 대다수가 이용하는 거대 플랫폼의 방대한 개인정보가 한순간에 털렸다는
소식은 저희역시 한 명의 이용자로서 많은 의문이 제기되었습니다.
그 의문의 해답은 12월 초 국회 과방위 긴급 현안 질의 과정에서 밝혀졌습니다.
의문의 시작
쿠팡측은 처음에는 인증 토큰을 만드는 프라이빗 서명키가 탈취되어 해커가
가짜 토큰을 만들어냈다. 고만 해명하였습니다. 그러나
키가 털렸다고 하더라도
해커가 수천만 계정을 뚫으려면 각 계정의 이메일 주소를 전부 알아내어
시도를 해야하는 어려움이 있지 않았을까?
라는 합리적 의문이 제기되었고, 결국 쿠팡 보안 시스템의 치명적 결함 두가지가 추가적으로
드러났습니다. 다시 말하여 이번 상황은 단순한 키 분실 사고를 넘어
쿠팡의 잘못된 사용자 인증 시스템 설계가 부른 예정된 인재였던 것 입니다.
드러난 보안 결함들
국회 질의를 통해 밝혀진 쿠팡 보안 아키텍처의 문제점은 크게 두 가지로 요약됩니다.
Ⅰ. 예측 가능한 순차적 사용자 ID
– 쿠팡은 내부 데이터베이스의 사용자 식별자(Primary Key)를 암호화된 난수나 랜덤 값이
아닌, 1부터 차례로 증가하는 정수값(오토 인크리먼트)으로 부여하고 있었습니다.
이 말인즉슨 해커가 사용자 개개인의 이메일 주소를 몰라도 단순히 “1, 2, 3, …” 식으로
번호만 바꿔가며 모든 계정을 순차 대입해볼 수 있었다는 뜻입니다.
실제로 해커는 1번 사용자부터 시작해 숫자를 하나씩 올려가며
인증을 시도함으로써 수천만 모든 계정에 접근할 수 있었던 것으로 보입니다.
만약 쿠팡이 사용자 식별자를 무작위로 설정해 외부인이 예측할 수 없도록 설계했다면,
설령 인증 키가 유출되었더라도 이처럼 대규모의 계정 정보를 몽땅 털리는 일은
막을 수 있었을 것입니다.
Ⅱ. 내부용 인증 API의 외부 노출
– 더욱 황당한 점은, 원래 내부에서만 써야 할 인증용
API가 인터넷에 공개돼 있었다는 사실입니다. 쿠팡 시스템에는 사용자 PK만 넣으면
그에 해당하는 인증 토큰을 발급해주는 내부용 API가 있었는데,
이런 종류의 API는 본래 신뢰할 수 있는 내부 마이크로서비스 간 통신에서만 쓰이고
외부에는 차단해두는 것이 상식입니다. 그러나 쿠팡의 해당 API는 누구나 접근 가능한
퍼블릭 상태로 열려 있었습니다. 결과적으로 해커는 탈취한 키만 이용하면 인터넷을 통해
이 API에 숫자 ID를 차례로 넣어가며 모든 사용자 계정의 토큰을 발급받는
형식으로 무차별 침투가 가능했던 것입니다.
예견된 인재가 드러난 참사, 그리고 남은 과제
이러한 사실들을 종합하면, 이번 쿠팡 개인정보 유출 사태는 결코 단순한 관리자 키 분실
사고가 아니었습니다. 비유하자면, 쿠팡은 “누구나 알아맞힐 수 있는 번호표”를
모든 고객 계정에 달아놓고 “직원 전용 출입문”을 아예 거리 한복판에 열어둔 것과
다름없었습니다.
기본 중의 기본인 보안 설계 원칙조차 지키지 않은 안일한 아키텍처가 빚어낸 예견된
인재였다는 점이 명확해진 것입니다. 국민의 소중한 데이터를 다루는 거대 플랫폼에서
이러한 사실을 간과하고 있었다니, 참으로 실망스럽고 뼈아픈 대목이 아닐 수 없습니다.
쿠팡 보안 책임자는 이러한 구조적 문제를 인정했고, 국회 차원에서도 끝까지 책임을 묻고
근본적인 대책 마련을 촉구하겠다고 밝혔습니다.
신청 현황
법률사무소 번화 쿠팡 단체소송 신청자는 7,000명이 넘어섰습니다.
이처럼 많은 피해자들이 한꺼번에 목소리를 내는 건 이례적인 일로,
소비자의 힘을 보여주는 사례가 아닐까 합니다.
다만 현행 제도 하에서는 이런 움직임에도 한계가 있다는 지적도 있습니다.
우리나라에는 아직 개인정보 유출 사건에 적용할 정식 집단소송제도가 없기 때문에,
이번에도 법원의 판결 효력은 소송에 참여한 사람들에게만 미칠 전망입니다.
참여하지 않은 피해자는 구제를 받지 못하는 구조적인 문제로 인해,
모든 피해자에게 고루 배상이 이뤄지기 어렵다는 것입니다.
이런 이유로 3370만 명 전체 피해자가 한 번에 구제될 수 있도록 집단소송법 도입이 필요하다
는 목소리도 커지고 있습니다. 실제로 정치권과 시민단체에서도 이번 사태를 계기로
개인정보 분야에 집단소송제를 도입하자는 논의에 힘이 실리고 있습니다.
이번 쿠팡 정보유출 사고는 기업 보안의 허술함이 얼마나 큰 사회적 재난으로 이어질 수 있는지
여실히 보여주었습니다. “설마 그렇게까지 하겠어” 하는 안일함과
기본 원칙 무시는 결국 수천만 명의 개인정보를 위험에 빠뜨렸습니다.
앞으로는 기업들이 초심으로 돌아가 가장 기초적인 보안 원칙부터 철저히 점검하고
지키는 문화가 정착되어야 할 것입니다. 정부도 강력한 관리·감독과 제도 개선을 통해 이러한
일이 재발하지 않도록 해야 합니다. 이번 사태로 대한민국의 개인정보 보호 수준을
한 단계 끌어올리는 전환점이 되기를 기대해 봅니다.
내용 원문 : 기사1
광고책임 : 김병국 변호사
'업무분야📄 > 기업범죄·특수🏢' 카테고리의 다른 글
| 쿠팡 단체소송 배상받을 수 있나? (0) | 2025.12.01 |
|---|
