■ 방송 : CBS 라디오 <김현정의 뉴스쇼> FM 98.1 (07:10~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 김승주(고려대 정보보호대학원 교수)
온라인 쇼핑몰 쿠팡에서 벌어진 3370만 명의 개인정보 유출 사건. 하루하루 지날수록 자세한 정황들이 드러나고 있는데요. 이 유출이 이루어진 건 지난 6월이었습니다. 하지만 쿠팡은 11월이 되도록 몰랐어요. 그러다가 11월 중순께 알게 되는데 알게 된 경로가 희한합니다. 쿠팡의 고객인 20대 남성 박 모 씨가 어느 날 이메일 한 통을 받는 거예요. 그 이메일에는 영어로 이런 내용이 적혀 있었습니다. 쿠팡의 개인 정보가 잠재적 유출 위험에 놓여 있다. 그리고는 그 밑으로는 박 씨의 이름, 주소, 주문한 물건명 거기다가 공용 현관 정보까지 그대로 다 담겨 있었다는 거예요. 그래서 박 씨는 쿠팡에 바로 신고를 한 거죠. 근데 알고 보니까 이 무렵에 박 씨뿐만 아니라 여러 명 회원들한테 이런 종류의 메일이 왔다고 합니다.
이렇게 해서 이 엄청난 유출 사건은 세상에 드러난 겁니다. 여기서 궁금증이 생깁니다. 이 범인, 몰래 정보를 빼가놓고는 그걸 굳이 세상에 왜 알린 걸까요? 너희들 6개월 지나도록 왜 모르니? 내가 가져갔어. 이런 식으로 왜 알린 걸까요? 그리고 그보다 더 궁금한 건 지금 범인이 퇴사한 쿠팡 전 직원으로 추정이 되고 있는데 도대체 퇴사 후에 이런 범행을 어떻게 저지를 수 있었던 걸까요? 전문가 이야기 들어보겠습니다. 김승주 고려대 정보보호대학원 교수, 어서 오세요, 교수님.
◆ 김승주> 안녕하십니까.
◇ 김현정> 퇴사한 중국인 개발자의 소행으로 점점 좁혀져 가고 있는 것 같은데 구체적으로 범행은 어떤 방식이었습니까?
◆ 김승주> 일단 인증 토큰, 서명키 이런 얘기가 나오니까 되게 헷갈리실 거예요.
◇ 김현정> 어려워요, 뭔지 모르겠어요.
◆ 김승주> 우리가 호텔에 들어갈 때 내 주민등록증을 보여주면 방 키를 주지 않습니까?
◇ 김현정> 주죠.
◆ 김승주> 그런데 이 방 키는 제한된 시간 동안만 효력이 있잖아요.
◇ 김현정> 제가 2박 3일 그 호텔에 묻기로 했으면 2박 3일 동안만 효력이 있어요.
◆ 김승주> 그렇죠, 제가 보통 시스템에 아이디하고 비밀번호를 쳐서 로그인을 하면 이런 방 키와 같은 인증 토큰이라는 걸 줍니다. 그걸 가지고 실제로 접속을 하는 거거든요. 그런데 지금 중국인 개발자로 지금 추정되는 이분이 범인 이 방 키를 발급하는 일종의 비밀번호를 가지고 나간 겁니다.
◇ 김현정> 그러니까 호텔에 가면 로비에서 그 호텔 호텔리어가 김현정 씨 2박 3일 묵으시죠? 하고선 그 카드 키에다가 넣어줘요. 그럼 저는 그 2박 3일 동안 그거 갖고 다니고 다시 반납하고 가면 또 다른 고객한테 새로 부여하거든요. 그 직업을 하는 호텔리어가 이 사람이었던 거예요?
◆ 김승주> 그 직업을 했을 수도 있고요. 아니면 이 개발자가 본인이 퇴사하기 전에 시스템에서 그런 발급할 수 있는 비밀번호들을 취합해서 갖고 나갔을 수도 있고요.
◇ 김현정> 어쨌든 그러니까 그 정보가 있는 방이 있다면 그 방문 앞 언저리에 있는 그 일을 하는 그런 문지기였다.
◆ 김승주> 그렇죠.
◇ 김현정> 그런데 그 문지기가 열쇠 가지고 간 거예요? 쉽게 말하면?
◆ 김승주> 그렇죠. 그런데 중국인 이렇게 얘기가 나오는 이유는 아까 이메일을 보냈는데 영어로 보냈다고 얘기하지 않으셨습니까. 그랬으니까 외국인인 것 같고 그리고 내부에서 나오는 소리가 이 중국인 개발자가 퇴사를 당하게 되니까, 해고를 당하게 되니까 앙심을 품고 그랬다는 얘기들이 내부에서 나오고 있는 것 같습니다.
◇ 김현정> 제가 앞서 던진 질문, 몰래 훔쳐 가고 6개월 동안 안 들켰으면은 그냥 그거 가지고선 범행을 저지르는 게 그 사람으로선 최선이었을 텐데 왜 굳이 당신 정보 유출됐어요, 그거 왜 모르세요? 이런 얘기를 굳이 왜 흘렸을까, 이 부분이 잘 이해가 안 돼서 제가 지금 질문드린 거였는데 그 퇴직자가 회사에 앙심을 품었을 가능성을 높게 보고 있어요?
◆ 김승주> 그렇죠. 왜냐하면 돈을 노렸으면 내가 발견되기 전에 즉각적으로 회사에 얘기를 합니다. 내가 지금 이런 거 갖고 나왔는데.
◇ 김현정> 돈 내놔라.
◆ 김승주> 개인정보보호위원회에 신고할 거니까 돈 내놔라.
◇ 김현정> 그렇죠.
◆ 김승주> 그런데 5개월 동안 있다가 일반 쿠팡 이용자들한테 알렸다는 건 돈의 목적이 아니라는 거거든요.
◇ 김현정> 아니라는 거예요.
◆ 김승주> 그냥 회사한테 너 한번 당해봐라라는 게 더 강하다는 겁니다. 그래서 회사에 앙심을 품은 개발자가 이런 것 같다고 얘기들이 나오는 겁니다.
◇ 김현정> 이거 지금 교수님 추정이 아니라 쿠팡 내부 직원들 사이에 지금 도는 얘기입니까? 이게?
◆ 김승주> 사실은 지난 주말에 하도 전화들을 많이 주셔서 제가 아는 사람들이 좀 많이 있으니까 그래서 물어봤어요. 중국인 얘기가 있는데 음모론도 있다. 그랬더니 퇴사를 당하게 된 중국인 개발자가 앙심을 품고 이런 걸 한 것 같다. 그리고 이 양반은 수개월에 걸쳐서 호텔 방 키를 발급할 수 있는 그런 비밀번호를 모았고 그걸 통해서 각 이용자들의 인증 토큰을 발급한 다음에 그걸 이용해서 개인정보를 취합했다, 모았다. 이런 게 골자였습니다.
◇ 김현정> 그렇군요. 사실 지금 음모론 얘기하셨는데 어떤 음모론이 도냐면 테무나 알리 같은 그런 외국 경쟁사들이 쿠팡을 제치려고, 쉬운 말로 쿠팡 제치려고 지금 이렇게 한 거 아니야? 그러니까 돈 요구를 한 게 아니라 오히려 정보 유출됐다는 사실을 세상에 알리는 방식으로 이렇게 접근한 거 아니야라는 음모론이 돌고 있는데 오히려 쿠팡 내부 직원들은 그것보다 그 퇴직자의 앙심, 앙갚음, 복수 쪽에 더 방점을 찍고 있다?
◆ 김승주> 일단은 제가 듣기엔 그렇게 들었고요. 그리고 쿠팡 중국인 이런 얘기를 많이 하시는데 쿠팡이라는 회사 자체가 안에 중국인 개발자나 인도 개발자가 많습니다.
◇ 김현정> 그건 왜 그런 건가요?
◆ 김승주> 아무래도 국제적인 기업이니까, 글로벌 기업이다 보니까 그런 거고요. 그런데 실제로 그 회사에 취직한 한국인들은 처음 가면 왜 이렇게 중국인들이 많지? 이렇게 놀라기도 합니다. 그래서 외국인 개발자가 많은 것이 전혀 이상할 거는 없고요.
◇ 김현정> 하기는 글로벌 IT 기업 가면 미국도 그렇고 중국인 IT 엔지니어들, 인도인 엔지니어들이 많아요.
◆ 김승주> 그렇죠.
◇ 김현정> 그쪽이 좀 발달한 나라다 보니까.
◆ 김승주> 이러다 보니까 사실은 고위층, 그러니까 위에 어떤 여러 가지 것들을 조정하고 관리하는 고위층은 외국인들이 대부분입니다. 그러다 보니까 국내 개발자들하고 의사소통이 조금 안 된다거나 하는 그런 문제들은 조금 있습니다. 그러다 보니까 관리에 좀 느슨한 부분이 생겼을 수도 있고요.
◇ 김현정> 일단 제가 처음으로 던졌던 그 질문에 대해서는 아직 완전히 지금 수사 결과가 나온 건 아니지만 교수님이 널리 취재하신 걸로는 앙심을 품은 사람의 어떤 범행으로 지금 좀 가능성을 높게 보고 있다. 그건 그렇고 어쨌든 이 사람이 범행을 저질렀으면은 이걸 쿠팡이 바로 알아냈어야 되는데 왜 몰랐는가, 특히 정부가 실시하는 개인정보 보호 관리 체계 인증 이름이 좀 어렵더라고요. ISMS-P 인증이라는 것도 통과를 했다는데 이거 어떻게 통과한 겁니까?
◆ 김승주> 사실 그게 문제가 되고 있죠. 예전에 롯데카드 해킹 사고가 났을 때도 롯데카드도 이 ISMS-P 인증이라는 걸 받았거든요. 이 ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 발급하는 인증서입니다. 어떤 인증서냐 하면 너 정보보호 잘했다, 개인 정보보호 관리를 잘했다. 이런 것들을 확인해서 그게 진짜로 그러면 인증서를 발급해 주는 거거든요.
◇ 김현정> 너네 보안 시스템 괜찮다 이런 인증서.
◆ 김승주> 그렇죠. 그런데 문제는 뭐냐 하면 이 ISMS-P 인증 항목 중에, 백몇십 개가 있습니다만 그 인증 항목 중에 조직 내 인력이 퇴직하는 경우 접근 권한을 회수해야 한다. 이 조항이 있습니다. 그러니까 어떤 직원이 퇴직하려고 그러면 그 사람이 알고 있던 비밀 키라든가 비밀번호 이런 것들은 전부 다 리셋시켜야 된다는 얘기거든요.
◇ 김현정> 당연하죠.
◆ 김승주> 그런데 그게 제대로 안 돼서 이번 사고가 난 걸로 보여지고요. 그런 의미에서 봤을 때 그럼 ISMS-P 인증이 제대로 이루어진 거야? 이런 논란이 나오고 있는 겁니다.
◇ 김현정> 방 키를 가지고 갔는데 발급하던 사람이 가지고 갔는데 그사이에 리셋, 비밀번호 변경이 안 돼버리니까 나가서도 계속 접근이 가능했다.
◆ 김승주> 그렇죠.
◇ 김현정> 그런데 이 인증 과정에서 그게 걸러내, 근데 왜 이걸 걸러내지 못할 거면 뭐 하러 이런 인증 절차 밟아요?
◆ 김승주> 보통 이렇게 저희 고려대학교도 ISMS-P 인증을 받았지만 실제로 해보면 서류 중심으로 확인하는 경우가 많습니다.
◇ 김현정> 이거 이거 했는지 체크하시오.
◆ 김승주> 그렇죠. 왜냐하면 정해진 시간 안에 심사를 해야 되기 때문에 그러다 보니까 항상 ISMS-P 인증에 대해서 관리가 제대로 되고 있는 거냐, 이런 어떤 얘기가 나오고 있는 거고요. 그래서 정부가 요새 통신사도 해킹되고 카드사도 해킹되고 하니까 이 ISMS-P 인증의 어떤 심사 절차를 보다 더 강화하겠다. 이렇게 얘기를 하고 있는 겁니다.
◇ 김현정> 지금 뭐가 탈취됐나 보니까 이름 나갔고요 주소 나갔고요. 내가 무슨 무슨 물건 샀는지 이거 나갔고 이메일 나갔고 공동 현관 번호 있는 분들 거기다 쓰신 분들은 그것도 다 나갔단 말입니다. 다만 카드 비밀번호 같은 거. 그러니까 쿠팡에다 여러분, 결제번호 넣잖아요, 신용카드 등록해 놓잖아요, 그거는 안 나갔다는 게 쿠팡 설명인데 믿어도 됩니까?
◆ 김승주> 일단은 지금 말씀하신 그 정보만으로도 사실은 굉장히 위협적인 건 사실입니다. 보통 결제 주문 정보 같은 경우에 최근 5개까지가 저장되거든요. 근데 그런 것들을 보면 이 사람들이 어떤 음식 좋아하는구나 이런 여러 가지를 알 수 있기 때문에 전화 사기나 피싱 메일 같은 걸로 악용될 수가 있죠. 두 번째로 중요한 건 결제 정보인데 좀 전에 말씀하셨듯이 쿠팡은 결제 정보는 안전하다, 비밀번호도 암호화돼 있다. 이렇게 얘기를 했습니다. 그런데 과거 통신사 해킹 사례를 보면 조사를 하다 보면 피해 범위가 더 확대되는 경우가 많거든요. 그리고 실제로 민관 합동조사단이 전수 조사를 하다 보면 이번 건은 아니더라도 과거에 해킹됐던 사례가 발견되기도 합니다.
◇ 김현정> 이번 건은 고객이 신고를 하고 그러면서 알려졌지만 혹시라도 꼭 그렇다는 건 아니지만 혹시라도 조사를 하다 보니까 어? 몇 년 전에 이렇게 해킹당해서 이렇게 유출됐는데 이거 몰랐어요? 그냥 넘어간 경우가 있을 수 있다?
◆ 김승주> 그렇죠. 그게 몰랐을 수도 있고 은폐했을 수도 있고. 그리고 분명히 통신사 사례를 보면 민관 합동조사단이 조사를 한 결과 이번 사건과는 관련이 없으나 과거에 이러이러한 것도 있었습니다. 보통 이렇게 발표를 하거든요.
◇ 김현정> 그런 사례들이 실제로 있었어요.
◆ 김승주> 있었죠. 그래서 사실은 민관 합동조사단이 본격적으로 조사를 하면 다른 어떤 침해 사례도 발견될 가능성은 있습니다. 그래서 현재 상태로서 결제 정보는 안전하다고 단언하는 것은 조금 위험합니다.
◇ 김현정> 그럼 당장 개개인이 할 수 있는 조치는 뭔가, 정부가 조사하고 기업이 나서서 보안 철저히 하고 이런 거는 그대로 하면 되는 거고 우리가 당장 할 수 있는 건 뭐예요? 뭘 어떻게 해야 돼요? 3370만 명은?
◆ 김승주> 일단은 저도 문자를 받았지만 안심하셔도 됩니다. 이걸 믿으시면 안 되고 쿠팡에 카드 정보를 연동해 놓으신 분들이 계세요.
◇ 김현정> 되게 많이들 그렇게 해 놓지 않아요?
◆ 김승주> 그래서 일단은 그 정보는 다 삭제하시는 게 좋고요.
◇ 김현정> 삭제하라.
◆ 김승주> 그리고 비밀번호는 다른 걸로 바꾸시는 게 좋을 것 같습니다.
◇ 김현정> 카드 비밀번호?
◆ 김승주> 그렇죠, 카드 비밀번호도 그렇고 그다음에 쿠팡 로그인 비밀번호도 그렇고요. 그게 지금으로서는 개인이 할 수 있는 최선책인 것 같습니다. 물론 탈퇴까지도 고려해 보실 수 있겠으나.
◇ 김현정> 만약 이 퇴직자가 그냥 그냥 앙심 품고 3370만 명 정보를 탈취하는 걸로 땡이었으면 그나마 전 다행일 것 같아요, 차라리. 근데 그게 아니라 이걸 팔아넘겼어요. 그러면 그들이 할 수 있는 그 조직이 할 수 있는 범행은 어떤 것들이 있습니까? 이 정보를 가지고 할 수 있는 거.
◆ 김승주> 그러니까 카드 정보라는 것이 기본적으로 카드 번호 있고 유효기간이 있고 뒤에 CVC 값이 있고 이렇지 않습니까? 그게 있으면 온라인상에 결제를 할 수 있으니까 위험한 거거든요.
◇ 김현정> 이번에는 카드가 안 털렸다고 하더라도 과거에 털린 사례들이 있었잖아요. 그거랑 또 결합할 수도 있겠네요.
◆ 김승주> 그럴 수도 있고요.
◇ 김현정> 쉬운 일은 아니겠지만.
◆ 김승주> 그래서 지금 카드 정보가 아니더라도 일단 나간 정보 자체가 그 사람의 어떤 취향을 알 수 있는 정보라든가 현관 비밀번호 같은 경우는 굉장히 중요하기 때문에 그것만으로도 일단 문제가 될 것 같고요. 그다음에 아직 조사가 완료되지 않았기 때문에 개인으로서는 아까 말씀드렸듯이 카드 비밀번호 바꾸고 결제 정보 전부 다 삭제해 놓고 이런 것들이 일단은 필요할 것 같습니다.
◇ 김현정> 솔직히 이게 어떤 식으로 어디까지 퍼져갈지 잘 모르겠어요. 그래서 대처를 어떻게, 그럼 지금 거기 있는 신용카드들 거기에 등록해 놨던 건 다 그냥 꺾어야 되는 건가, 이걸 어떻게, 탈퇴를 해야 하는 건가.
◆ 김승주> 그런 문제가 있죠.
◇ 김현정> 어디까지 해야 될지 모르겠어요.
◆ 김승주> 언론에서 또 논란이 되고 있는 것은 쿠팡은 대만에서도 서비스를 합니다. 그런데 대만에서는 우리는 지금 쿠팡 쓸 때 아이디하고 비밀번호를 쓰잖아요. 근데 그거보다는 조금 더 보안 수준이 높은 어떤 그런 사용자 인증 방식을 쓰거든요. 그래서 대만에서는 저렇게 안전한 거 쓰면서 왜 한국은 이렇게 좀 단순한 걸 쓰는 거야? 이런 어떤 불만 섞인 목소리도 나오고 있는 것으로 압니다.
◇ 김현정> 이번 건을 계기로 또 우리가 돌아봐야 될 어떤 시스템적인 보안 문제 어떤 게 좀 보완돼야 된다고 보세요?
◆ 김승주> 사실은 이번 해킹 사고는 과거 통신사 해킹 사고하고는 결이 좀 다릅니다. 보통 우리가 해킹 그러면 외부의 공격자가 침입하는 거거든요. 근데 이건 내부 직원에 의한 공격이란 말이죠. 그런데 이 내부 직원에 대한 공격이 사실 막기는 쉽지 않습니다. 그런데 미국은 에드워드 스노든 사건 이후로 내부 직원에 대한 어떤 기밀 정보 유출 이거에 대해서 굉장히 민감하게 반응하거든요. 그래서 우리도 법 제도 관련해서 내부 직원 관련해서 어떤 식으로 방어할 거냐, 처벌은 어떻게 할 거냐 이걸 좀 마련할 필요가 있고요. 두 번째는 지금 우리의 법 제도는 주로 국내 기업을 처벌하는 데 포커싱이 돼 있습니다. 그런데 이렇게 다국적 기업인 경우에 과연 어떡할 거냐, 무슨 얘기냐 하면 법상으로는 처벌할 수 있습니다. 그런데 지금 상층부는 전부 다 외국인이거든요.
◇ 김현정> 쿠팡은 그래요?
◆ 김승주> 그렇죠.
◇ 김현정> 우리는 그냥 우리나라 기업이다. 이렇게 생각하고 있는데 다국적 글로벌 기업인 거예요?
◆ 김승주> 보통 다 외국인입니다. 그래서 그 사람들 소환한다고 그래도 응해줄 리도 없거니와 조사 자체가 쉽지 않을 거란 말이죠. 그러면 쿠팡 코리아에 있는 직원들 선에서 꼬리 자르기식으로 끝나고 실제 맨 위에 있는, 어떤 명령을 내릴 수 있는 이분들은 그대로 있을 수가 있거든요. 그래서 우리나라에는 이런 형태의 기업 구조를 갖는 글로벌 기업들이 꽤 많은데 이걸 과연 앞으로 어떻게 대처할 거냐 이건 고민이 좀 필요해 보입니다.
◇ 김현정> 예. 전직 내부인의 소행 심지어는 현직 내부인의 소행에 대해서는 지금까지 너무 무방비가 아니었는가, 이번 사건에 또 새로운 유형의 사건이 터지면서 이쪽을 한번 들여다봐야 되는, 우리가 깊이 있게 들여다봐야 되는 그런 사례인 것 같습니다. 교수님, 오늘 말씀 고맙습니다.
◆ 김승주> 감사합니다.
◇ 김현정> 김승주 교수였습니다.
* 인터뷰를 인용보도할 때는 프로그램명 'CBS라디오 <김현정의 뉴스쇼>'를 정확히 밝혀주시기 바랍니다.