전·현직 직원 등 기업 내부자를 통한 해킹, 개인정보 유출 우려가 커지고 있다. 쿠팡에서 개인정보 유출 사건의 핵심 인물로 퇴사 직원이 지목되면서다.
무슨 일이야
1일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원실에 따르면 쿠팡 사태의 핵심 인물로 지목되는 전직 직원 A 씨는 쿠팡 내부에서 인증 업무를 담당했던 것으로 나타났다. 올 들어 발생한 통신사 등의 개인 정보 유출 사건 등이 주로 외부 해커의 소행이 원인이었다면, 이번 쿠팡 사태는 내부자와 연계된 해킹으로 추정된다는 의미다.
국내에선 잘 알려지지 않았지만, 내부자 연계 해킹 사례는 해외에서 증가 추세다. 사이버 보안 전문 플랫폼인 사이버시큐리티 인사이더스가 지난해 보안 전문가 413명을 대상으로 한 설문조사에 따르면 응답자의 83%가 ‘지난 1년간 최소 한 번 이상의 내부자 공격을 경험한 적 있다’고 답했다. 지난 2021년 59%였던 것과 비교하면 크게 늘어난 수치다.
해커들이 ‘내부자 해킹’을 시도하는 이유는 강력해진 보안 장벽 대비 상대적으로 ‘사람’을 뚫는게 쉽기 때문이다. 국내 한 보안 스타트업 대표는 “보안 기술과 정책이 제대로 갖춰진 기업이라면 해커들이 아무리 인공지능(AI)을 활용해도 외부에서 뚫는 건 상당히 힘들다”며 “때문에 내부자를 섭외하는 사회공학적인 접근 방식을 많이 채택하는데, 최근엔 아예 해당 기업에 취업해 정보를 빼내는 경우도 늘고 있다”고 설명했다.
국내엔 내부자 해킹 통계도 없어
전문가들은 한국도 내부자 해킹에 대한 경각심을 높여야 할 때라고 지적한다. 하지만 국내에서는 내부자 해킹에 대한 통계조차 제대로 마련돼 있지 않는 등 대응이 미비하다는 지적이 나온다. 해킹 사건에 대한 기술적 대응을 담당하는 한국인터넷진흥원(KISA)은 서버 해킹과 디도스 등 공격 기술의 유형별로만 사건을 집계한다. KISA 관계자는 “해킹 공격 유형은 조사하지만, 공격 행위 주체를 따로 집계하진 않는다”고 말했다. 그나마 개인정보보호위원회가 매년 발표하는 ‘개인정보 유출 신고 동향’에서 업무 과실이나 고의 유출 건수를 통해 간접적으로만 확인할 수 있다.
시스템 접근, 데이터 조회 등 모든 사용자 행위의 발자국을 기록하는 ‘로그’에 대한 정부의 관리 지침이 부실하다는 지적도 나온다. 신승민 큐비트시큐리티 대표는 “로그 기록은 기업이 지정하지 않은 정보는 저장되지 않는다”며 “어떤 로그 기록을 남겨야 하는지 가이드라인이 명확하지 않은 점도 해킹의 재발 방지가 제대로 이뤄지지 않는 원인”이라고 지적했다.
“내부자 정보 접근 권한, 철저히 관리해야”
쿠팡 역시 허술한 내부자 관리 문제가 드러나고 있다. 최민희 의원실은 이날 쿠팡으로부터 제출받은 자료를 토대로 “쿠팡 해킹이 가능했던 이유는 인증 관련 담당자에게 발급되는 서명된 ‘액세스 토큰’의 유효 인증키가 장기간 방치돼 담당 직원이 퇴사 후에도 이를 악용했기 때문“이라고 지적했다. 기본적인 내부 보안 절차를 지키지 않은 게 이번 사건의 발단이 됐다는 의미다. 이에 대해 쿠팡 관계자는 “인증키가 장기간 방치됐다는 것은 사실이 아니다”라며 “현재 수사 중인 상황이라 자세한 언급은 할 수 없다”고 말했다. 이기혁 중앙대 산업보안학과 교수는 “내부 사정을 잘 아는 내부자가 연루됐을 때 해킹 성공 가능성은 훨씬 커진다”며 “내부자의 정보 접근 권한을 철저히 관리하는 게 중요하다”고 말했다.
![[현장에서] 개인정보 규제, 지키기 쉽게 바꿀 때](https://img.newspim.com/news/2025/12/02/2512021742570410.jpg)
