3370만명의 개인 정보가 유출된 쿠팡이 자신들의 사이버 보안 허점을 이미 파악하고 있었던 것으로 보인다.
14일 국회 과학기술정보방송통신위원회(과방위) 소속 이준석 개혁신당 의원실에 따르면, 쿠팡은 최근 국회에 올 3월 실시한 해킹 방어 대응 훈련 결과 보고서를 제출했다.
이 보고서는 쿠팡이 컨설팅 기업인 액센츄어에 의뢰해 사이버 보안 사고 발생 시 대응 능력을 점검하기 위해 모의 훈련을 실시한 결과를 담고 있다. 액센츄어는 쿠팡 물류센터에서 사이버 공격이 발생할 경우 보안운영통합(SecOps) 관제가 언제, 어떻게 개입하는지를 중심으로 쿠팡의 사이버 공격 대응 능력을 살폈다.
보고서는 쿠팡의 사이버 공격 대응 능력 가운데 몇 가지 부분을 확실한 약점으로 꼽았다. 우선 위기관리 절차가 문서화되지 않고 구성원 개인의 역량에 의존하거나 문서도 개인별로 나뉘어 있다고 지적했다. 액센츄어는 모의 훈련 동안에는 문제가 없었지만 이는 개선돼야 할 부분이라고 강조했다.
실제로 이번 개인정보 유출 사고도 이 부분이 문제가 됐다. 개인정보 유출 혐의자는 인증 부서 소속 개발자로 키 개발에 필요한 권한을 가지고 있었다. 이 개발자의 재직 기간은 2022년 11월 16일부터 올해 1월 1일까지였지만, 문제가 된 키는 2024년 4월 이후에 만들어져 올해 11월 19일에야 회수된 것으로 파악됐다.
보고서는 쿠팡의 보안운영통합 관제가 제대로 작동하지 않는다는 점도 지적했다. 사이버 공격이 확인되고 보안 이슈로 판별이 난 이후에도 사고 지휘가 어떻게 이뤄져야 하는지 명확한 기준이 없다는 것이다.
보고서는 "보안운영통합 관제 개입 시점에 대한 명확한 기준이 없을 경우, 사이버 공격이 장기간 탐지되지 않은 채 지속돼 공격자가 활동을 확대할 가능성이 커진다"며 "데이터 수집 부족과 비효율적인 분석으로 인해 사고 대응이 불충분해지고, 결과적으로 근본적인 위협 제거가 제대로 이뤄지지 않을 수 있다"고 지적했다.
실제로 쿠팡은 대규모 개인정보가 유출되는 것을 제대로 파악조차 못하고 있었다. 쿠팡이 개인정보 유출을 파악한 건 11월 18일이다. 6월에 공격이 시작되고 5개월이 되도록 파악조차 못하고 있었던 것이다.
쿠팡은 국회에 제출한 자료에서 "용의자는 유출된 프라이빗 키로 정상 서명된 토큰을 사용해 올해 6월부터 여러 IP에서 낮은 볼륨으로 무단 분산 접근해 개인정보를 유출한 것으로 파악하고 있다"고 밝혔다.
쿠팡은 보고서가 지적한 취약점에 대해 정기적으로 점검하고 조치를 취하고 있다고 밝혔다. 하지만 3월에 나온 보고서에서 지적한 부분을 제대로 조치하지 않은 탓에 6월부터 반 년 가까이 고객 개인정보가 대규모로 유출되는 사고가 터졌다.