3370만건에 달하는 고객 개인정보 유출 사태가 발생했지만, 사고 당시 쿠팡 내부의 접근 권한 구조와 통제 체계가 실제로 어떻게 운영되고 있었는지는 여전히 ‘안갯속’에 머물러 있다.

쿠팡은 개인정보 처리와 관련해 ‘업무상 필요한 최소한의 인원에게만 접근 권한을 부여한다’는 원칙을 내세우고 있지만, 정작 이를 입증할 핵심 자료는 정부·국회 어느 곳에도 제출하지 않고 있다.

일러스트=챗gpt달리

<이미지를 클릭하시면 크게 보실 수 있습니다>

5일 조선비즈 취재를 종합하면 쿠팡은 개인정보 보호를 위해 ▲접근 권한 최소 부여 ▲데이터베이스(DB) 접근 통제 ▲접근 기록 및 관리 등을 시행한다고 개인정보처리방침 등에 명시하고 있다. 쿠팡이 발행한 지속가능경영보고서 등에도 개인정보 보호와 내부 통제를 강화하겠다는 취지의 내용이 담겨 있다.

그러나 이번 유출 사고에서 해당 원칙이 실제 시스템에서 제대로 구현됐는지는 아직 확인이 불가한 상황이다. 이를 확인하고자 여야 의원들이 쿠팡에 보안 시스템·권한 관리 규정 등 핵심 자료 제출을 요청했지만 자료가 오지 않자, 지난 2일 국회 과학기술정보방송통신위원회와 3일 정무위원회 긴급 현안 질의에서 재차 자료 제출을 공식 요구하기도 했다.

국회 정무위원회 소속 김상훈 국민의힘 의원실이 쿠팡·개인정보보호위원회(이하 개보위)로부터 제출받은 자료에 따르면 쿠팡은 ▲사고 당시 내부자 접근 권한 구조(IAM) ▲해당 계정이 접근할 수 있었던 정보 DB 범위 ▲비인가 접근을 탐지하는 시스템 작동 여부를 확인할 로그 기록 등 핵심 자료 제출이 어렵다는 입장이다. 경찰 수사에 영향을 줄 우려가 있는 정보의 외부 설명을 자제해 달라는 공식 요청을 따라야 한다는 것이다.

이 때문에 3370만건에 달하는 개인정보가 어떤 경로와 구조를 통해 대량으로 유출됐는지조차 공식적으로 확인·검증하지 못하고 있다. 쿠팡이 밝힌 ‘접근 권한 최소화 원칙’이 실제로 잘 지켜졌는지 여부 확인은 사실상 공백 상태다. 여기에 대규모 개인정보 접근·유출이 가능했는지, 동일 유형의 위험 재발 가능성이 있는지조차 현재로선 외부에서 확인·검증할 수 없다.

그래픽=정서희

<이미지를 클릭하시면 크게 보실 수 있습니다>

개보위 조사 경과 보고서를 통해 지난달 16일 고객 제보 이메일(VOC)을 통해 불법 접근 정황을 처음 파악했고 ▲1차 조사에서 4536명의 개인정보 유출 사실을 확인하고 인증키 폐기 ▲로그 분석 범위를 확장한 2차 조사에서 3370만명의 개인정보 유출 사실 등만 확인됐을 뿐이다.

업계에서는 이번 사태를 쿠팡의 내부 보안·통제 체계가 충분히 작동하지 못한 구조적 문제로 보고 있다. 접근 권한 최소화-권한 검증-로그 감사로 이어지는 기본적 통제 체계가 제대로 작동했다면 내부 인증 정보가 유출되더라도 피해 규모가 제한됐어야 한다는 것이다.

보안업계 관계자는 “정상적인 내부 통제 체계가 갖춰져 있었다면 IAM이나 접근 로그 등 기본 자료를 토대로 어떤 권한이 부여돼 있었고, 비인가 접근이 차단됐는지를 기업이 먼저 적극적으로 설명했을 것”이라며 “현재 쿠팡의 행보는 내부 보안 체계가 실제로 어떻게 운영됐는지를 외부에서 검증할 근거조차 부족하다는 시그널로 읽힐 뿐”이라고 했다.

김상훈 국민의힘 의원은 “쿠팡이 ‘최소 권한 원칙’을 내세워 온 것과 별개로, 정작 이를 입증할 핵심 자료조차 제출하지 못하는 현실은, 내부 통제 체계가 사실상 작동하지 않았음을 방증한다”며 “정부와 국회가 기본적인 접근 권한 구조조차 확인하지 못하는 상황 자체만으로도, 쿠팡의 이번 사태는 단순 사고가 아닌 구조적 관리 부실의 결과인 셈”이라고 했다.

민영빈 기자(0empty@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>