인증키·접근 권한 관리 부실 문제… "'프리패스' 권한 탈취된 것"
고객 신뢰 문제로도 번져… 정부, 위약금 면제·징벌적 손배 검토
[미디어펜=배소현 기자] 통신에서 플랫폼 업계까지 대규모 개인정보 유출 사고가 잇따라 발생하면서 '구조적 보안 허점'과 '사고 은폐·축소' 문제가 도마 위에 올랐다. 기업이 기본적인 보안 관리조차 이행하지 않은데다 해킹 사고 발생 후 사실을 숨기려고 하는 관행이 맞물리며 관련 피해가 더욱 커졌다는 비판이다. 파장이 커지자 정부도 징벌적 손해배상 등 강도 높은 제재 검토에 착수하며 대응 수위를 끌어올리는 모습이다.
4일 업계에 따르면 KT와 쿠팡의 개인정보 유출 사고는 모두 인증 및 접근 권한 관리의 구조적 허점에서 비롯됐다.
우선 KT 무단 소액결제 사고의 경우 사태의 근본 원인으로 펨토셀(초소형 기지국) 인증 체게의 총체적 부실이 지목됐다. KT에 납품되는 모든 펨토셀은 동일한 인증서를 사용하고 있었는데, 이는 불법 펨토셀도 인증서 하나만 복사하면 KT망에 손쉽게 접속할 수 있는 구조적 허점으로 작용한 것이다. 또 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속했던 이력이 있다면 지속적인 접근도 가능했다.
펨토셀에 탑재되는 셀 ID, KT 서버 IP 등은 보안 통제 없이 외주 제작사에 제공됐으며 KT는 내부망 접속 시 타사·해외 등 비정상 IP를 차단하지 않는 등 불법 접근 경로를 방치하기도 했다.
이에 해커는 불법 펨토셀을 장악해 단말과 코어망 간의 종단 암호화가 해제된 상태에서 ARS, SMS 등 결제 인증 정보를 평문으로 탈취할 수 있었다.
쿠팡의 3370만 명 개인정보 유출 사건은 외부 해킹도 아닌 내부 직원 소행이라는 점에서 인적 보안 관리의 실패가 사고의 본질이라는 분석이 나온다.
고객 정보를 유출한 직원은 퇴사한 인증 관련 담당자로 알려졌는데, 해당 직원은 퇴사 후에도 인증 토큰 및 서버 서명키를 악용해 약 5개월 간 정상적인 로그인 없이도 쿠팡 서버에 무단 접근한 것으로 추정된다.
인증 토큰은 로그인 시 발급되는 '시스템 출입증'과 같은 역할을 하며 토큰 생성에 필요한 것이 서명키다. 쿠팡은 이 같은 핵심적인 역할을 하는 서명키에 대한 퇴사 직원의 권한을 회수하거나 갱신하지 않고 장기간 방치했을 가능성이 제기된다.
특히 쿠팡은 작년 기준 정보보호 투자금액을 약 860억 원으로 공시하며 '동종 업계에서 정보보호에 가장 많은 금액을 투자한다'고 주장했음에도 불구하고, 정작 퇴사자의 계정과 접근 권한을 즉시 회수하는 기본적인 관리에 실패해 초대형 사고를 자초했다는 지적이 나온다.
KT와 쿠팡이 모두 기업 스스로 치명적인 구조적 허점이 있었던 데 대해 김승주 고려대학교 정보보호대학원 교수는 "호텔 방 키를 발급하는 비밀번호를 내부 개발자가 갖고 나간 것과 같다"며 "이 비밀번호를 이용해 호텔 방 키를 무한으로 생성해 고객 정보를 빼낸 것"이라고 비유했다.
해커가 비밀번호를 몰라도 시스템이 사용자를 정상적인 고객으로 인식하게 만드는 '프리패스' 권한이 탈취됐다는 것이다.
◆ 은폐·축소 논란도 닮은꼴… 정부도 사태 수습에 '강경 기조'
KT와 쿠팡은 사건 발생 직후 정보 은폐·축소 논란으로 여론의 질타를 받기도 했다.
KT의 경우 정부 조사 과정에서 지난해 서버 해킹 사실을 알고도 당국에 신고하지 않고 은폐한 정황이 드러난 바 있다.
민관합동조사단은 KT가 작년 3월부터 7월까지 BPF도어 등 은닉성이 강한 악성코드에 서버 43대가 감염된 사실을 파악하고도 이를 신고하지 않고, 자체적으로 악성코드를 삭제 조치한 사실을 확인했다고 밝혔다. 감염된 서버 중 일부에는 성명·전화번호·이메일 주소·IMEI(단말기 식별번호) 등 가입자 개인정보가 저장돼 있었다.
또 KT는 정부 조사단에게 해킹 의혹 관련 서버의 자료 제출을 요구받자 '해당 서버들이 모두 폐기됐다'고 허위 보고하는 등 조사를 방해한 정황까지 드러나 위계공무집행방해 혐의로 경찰에서 수사가 진행 중인 상황이기도 하다. 정부는 실제로는 보고 당일에도 해당 서버 일부가 살아있었고 폐기 서버의 백업 로그를 보고하지 않은 행위로 조사 자체를 지연시키려는 고의성이 있다고 판단했다. 그러나 KT는 '악성코드 발견 사실을 지연 신고해 송구하다'고만 밝혀 빈축을 샀다.
쿠팡 역시 초기 대응 과정에서 피해 규모를 대폭 축소해 신고했다가 정부 조사로 사실이 밝혀져 곤욕을 치렀다.
쿠팡이 한국인터넷진흥원(KISA)에 침해 사고를 최초 신고할 당시 자체 파악한 피해 규모는 4536개 계정 수준에 불과했다. 그러나 정부 합동 조사단이 현장 조사를 진행한 결과 무단 접근 정황은 지난 6월 24일부터 시작됐고 유출 규모는 약 3370만 건으로 대폭 확대됐다.
또 쿠팡은 '결제 정보와 신용카드 변호, 아이디·비밀번호 등 로그인 정보는 유출되지 않았다'고 선을 그었지만 이름, 이메일, 전화번호, 배송지 주소 등 민감한 개인정보 조합은 한국 성인 4명 중 3명 꼴로 유출된 역대 최대 규모의 사고로 기록된다.
이 가운데 쿠팡은 내부 직원이 고객에게 협박성 이메일을 보낸 정황이 확인되고 소비자의 항의를 받고나서야 자체 조사에 나섰는데, 이는 스스로 유출 사실을 감지하지 못했다는 방증으로 풀이된다.
한편 업계 일각에서는 잇따른 대규모 해킹 사태와 관련해 기업이 책임을 회피하지 않도록 하는 제재 방안이 필요하다는 목소리가 제기된다. 수많은 국민에게 직·간접적인 피해가 가는 만큼 기본적인 규제 등이 강화돼야 한다는 주장이다.
정부 역시 해킹 사고에 더욱 강경한 태도를 보이는 모습이다.
배경훈 부총리 겸 과학기술정보통신부 장관은 KT 해킹 사고와 관련해 "조만간 합동조사단 결과가 나오면 위약금 면제, 영업정지 같은 제재가 가능한지 검토를 진행하겠다"고 밝혔다.
또 쿠팡과 같은 대규모 고객 피해 사고에 대해선 "국민에게 직접 피해를 주고 금융 불안을 초래하는 사건은 징벌적 손해배상을 통해 반복되지 않도록 해야 한다"며 개인정보보호위원회의 협의해 제도 도입을 추진하겠다고 했다.
