“쿠팡은 테크 컴퍼니(기술 기업)입니다.”쿠팡 창업자인 김범석 의장이 입버릇처럼 강조해온 말이다. 기존 유통산업 질서를 거부하고 ‘로켓배송’으로 판도를 완전히 바꿔놓은 쿠팡의 저력은 기술에 있다는 의미다. 실제 쿠팡은 인공지능(AI) 물류 배차, 머신러닝 기반 수요 예측 등 혁신 기술로 한국 유통산업 지형을 바꿨다. 하지만 ‘쿠팡 신화’는 가장 기본인 고객 정보 보호에 실패하면서 허무하게 무너졌다. 최고 수준의 기술 성취를 자부하던 쿠팡이 5개월 동안이나 ‘도둑’이 든 사실조차 몰랐다는 점은 변명의 여지가 없는 인재란 지적이 나온다.
(1) 외부 해킹인가, 내부 소행인가
쿠팡의 개인정보 유출에 대한 가장 큰 의문은 누가, 왜 정보를 가져갔느냐다. 경찰과 보안당국은 현재 모든 가능성을 열어두고 있다. 쿠팡 측은 “해외 서버를 경유한 무단 접속으로 추정한다”고 밝혔다. 하지만 보안업계에선 단순 외부 해킹으로 단정 짓기 어렵다는 시각이 지배적이다.통상적인 해커들은 시스템을 마비시키고 돈을 요구하거나 과시 목적으로 흔적을 남긴다. 하지만 이번 쿠팡 사례는 범인이 5개월간 시스템을 정상 가동하면서 데이터만 조용히 빼냈다. 쿠팡 시스템의 구조와 취약점을 훤히 꿰뚫고 있는 내부자 소행일 가능성이 높다. 중국 국적의 전 쿠팡 직원이 정보를 유출한 뒤 해외로 도주했다는 주장이 설득력을 얻고 있다. 경찰은 쿠팡이 신고한 ‘성명불상자’를 추적하는 동시에 임의 제출받은 쿠팡의 서버 기록을 분석해 유출 경로와 피해 규모 등을 집중적으로 들여다보고 있다.
(2) 어쩌다 털렸나
쿠팡 내부 정보를 털어간 이들은 지난 6월 24일부터 11월 18일까지 150일 가까이 쿠팡 데이터망을 드나들었다. 보안 전문가들은 범인들이 ‘로 앤드 슬로’(low and slow) 방식을 쓴 것으로 추정한다. 보안 관제 시스템 임계치를 넘지 않도록 아주 천천히 조금씩 데이터를 긁어모아 감시망을 피했다는 것이다.‘좀비 데이터’ 관리 부실도 도마에 올랐다. 쿠팡의 올해 3분기 활성 고객은 약 2470만 명이다. 하지만 유출된 계정은 3370만 건에 달했다. 이 가운데 약 900만 건은 휴면 회원이거나 탈퇴한 회원일 가능성이 있다. 개인정보보호법상 목적이 달성된 정보는 파기하거나 별도 분리 보관해야 하지만, 쿠팡이 마케팅 활용 등을 위해 한 바구니에 담아뒀다가 피해를 키웠을 가능성이 제기된다.
(3) 보안투자 소홀했나
쿠팡은 자사를 유통 기업이 아니라 테크 기업으로 정의해왔다. 말뿐만 아니라 실제 투자도 많이 했다. 지난해 정보보호 부문에만 약 889억원을 썼다. 이는 국내 유통사 중 압도적 1위이자 카카오 등 국내 주요 테크 기업을 뛰어넘는 투자 규모다.돈을 쏟아붓고도 정보가 유출된 이유로 보안 전문가들은 부실한 내부 통제 시스템, 보안 의식을 꼽는다. 쿠팡의 투자는 디도스 공격 방어, 서버 증설 등 주로 하드웨어와 외부 방어에 집중됐다. 반면 급격히 커진 조직 규모에 비해 내부 통제와 권한 관리 같은 ‘소프트웨어적 프로세스’는 허술했다는 지적이 나온다. 이용자와 매출을 빠르게 늘리는 속도전에 대응하기 위해 개발자와 운영자 편의상 보안 빗장을 관행적으로 풀어놓은 것이 부메랑이 돼 돌아왔다는 분석이다.
(4) 2차 피해 가능성은
유출된 정보는 이름, 이메일, 휴대폰 번호, 주소, 일부 주문 내역이다. 쿠팡은 금융정보는 유출되지 않았다고 밝혔지만 이미 유출된 정보의 결합만으로도 보이스피싱이 가능하다.가장 우려되는 시나리오는 ‘타깃형 스미싱’이다. 범죄 조직이 이름과 주소, 최근 주문 정보를 이용해 “고객님, 댁 앞에 주문하신 물건을 뒀습니다”는 식의 문자를 보내면 의심 없이 열어볼 수 있다. 이 문자메시지에 악성 코드를 심으면 속수무책이다. 한국인터넷진흥원(KISA)은 ‘피해 보상’ ‘환불’ 등의 키워드로 피싱 시도가 예상된다고 경고했다. 유출된 정보가 다른 범죄에 악용될 것이라는 공포감이 확산하자 온라인 커뮤니티에선 쿠팡 탈퇴 움직임도 일부 나타나고 있다.
안재광/이영애/김영리 기자 ahnjk@hankyung.com
관련뉴스
