[쿠팡 해킹] ‘방치된 권한’과 ‘죽은 관제’...890억 보안 투자 쿠팡, 기본에 뚫렸다

입력 : 2025-12-03 10:11

200명 전담 인력 무색 5개월간 데이터 유출 ‘깜깜’
“다양한 이해관계 속에서 내부 통제할 수 있는 보안 문화 구축 필요해”

[보안뉴스 조재호 기자] 국내 최대 이커머스 기업 쿠팡에서 3370만건의 개인정보 유출 사고가 단순 해킹이 아닌 ‘총체적 인재’라는 정황이 드러나고 있다. 연간 900억에 육박한 보안 예산과 200명이 넘는 전담 인력을 운영했지만, 부실한 퇴사 직원 관리로 전 국민에 가까운 정보가 유출됐다.

2025년도 정보보호 공시에 따르면 쿠팡은 정보보호 부문에 약 890억원을 투자했다. 보안 전담 인력도 내부 162명, 외주 49명 등 총 211명 규모로 국내 이커머스 업계 최대 규모다. 하지만 보안 전문가들은 “압도적 규모 대비 ‘기본’이 지켜졌을지 의문이다”고 지적한다. 이번 사고의 원인으로 지목된 부분이 ‘접근 권한’(Credential) 관리 실패이기 때문이다.


5개월 보안 공백, 부실한 관리 시스템이 원인?
업계 반응을 종합하면 개인정보 관련 접근 권한을 관리하던 중국인 엔지니어가 퇴사했음에도 이 서명키를 폐기하거나 갱신하지 않고 방치한 것이 문제라는 것이다. 이 서명키는 최소 반년 가까이 교체되지 않았고, 외부에서 시스템을 드나드는 ‘만능열쇠’가 된 것으로 보인다.

한 보안 전문가는 “퇴사자 계정관리와 서명키 갱신은 보안에서 가장 기초적인 ‘문단속’ 절차”라며 “최첨단 감시 카메라를 달아 놓고 정작 현관 열쇠 꾸러미는 화분 밑에 숨겨둔 꼴”이라고 지적했다.

납득하기 어려운 대목은 ‘5개월간 보안 공백’이다. 비인가 접근이 6월 24일부터 시작됐지만, 쿠팡은 11월 말에야 피해 사실을 인지했다. 3370만명이라는 엄청난 규모의 데이터가 조회되고 빠져나가는 동안 로그 분석 시스템과 이상 징후 탐지 체계는 작동하지 않았다. 업계에선 탐지 지연이 단순 기술적 실패인지, 혹은 내부적으로 인지하고도 덮으려 한 것인지 의문을 제기하고 있다.

지난달 30일 국회 과학기술정보방송통신위원회 위원장 최민희 의원이 쿠팡에서 받은 자료에 따르면 이번 유출은 인증 관련 담당자에게 발급되는 ‘서명키’가 장기간 갱신되지 않은 채 남아 있었기 때문이란 사실이 확인됐다. 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도 이를 생성할 수 있는 ‘서명키’가 있어 지속적 악용이 가능했으리라는 설명이다. 서명키가 있다면 토큰을 지속 생성할 수 있기 때문이다.

보안 전문가들은 문제의 ‘서명키’가 클라우드 보안의 핵심 뇌관으로 떠오른 ‘비인간 계정’(NHI·Non-Human Identity) 보안 실패의 전형적인 사례라고 지적한다. NHI란 사람이 아닌 서버나 애플리케이션, 클라우드 서비스 간의 통신과 인증을 위해 사용되는 API 키, 암호화 키, 세션 토큰 등을 통칭한다. 사람이 직접 입력하고 관리하는 ID/PW와 달리 시스템 내에서 자동화된 권한을 지녀, 관리자의 운영 사각지대에 놓이기 쉽다. 담당자가 퇴사하거나 인사 이동을 해도 회수나 삭제되지 않고 방치되기 쉽다.

NHI 보안 불감증과 기형적 의사결정 구조, 사태 키웠나?
실제로 클라우드 환경이 보편화되면서 NHI는 기하급수적으로 늘어나고 있지만, 이에 대한 관리는 미비한 편이다. 사람에 대한 통제는 인사 시스템과 연동돼 비교적 철저하지만, 시스템 자체에 부여된 권한은 이렇다 할 관리 체계를 갖추기도 힘들고 관련 솔루션 시장도 최근에서야 시작됐기 때문이다.

국제 웹 보안 표준기구(OWASP·Open Web Application Security Project)에 따르면 ‘장기간 방치된 시크릿’(Long-Lived Secrets)은 가장 위험한 NHI 보안 취약점 중 하나로 꼽혔다. 실제 업계 데이터를 보면 60% 이상의 API 키가 1년 이상 로테이션 없이 방치되고, 51% 기업이 퇴사자 발생 이후에도 키를 교체하지 않았으며, 45% 이상이 해킹 사고 이후 키를 교체했다. 쿠팡도 폭발적 서비스 확장 과정에서 접근 권한 관리 시스템의 노후화 및 관리 부실이 우려되는 상황이다.

또 이번 사태의 배경엔 쿠팡 특유의 기형적 의사결정 구조가 있다는 비판도 제기된다. 매출은 전적으로 한국에서 발생하지만, 의사결정은 한국 사정에 밝지 않은 해외 임원들이 주도하는 구조가 보안 거버넌스의 효율성을 떨어뜨렸다는 것이다.

익명을 요구한 전 직원은 “현장 실무진이 위험을 경고해도 의사결정 권한을 쥔 임원들과 소통 과정에서 누락되거나 지연되는 경우가 많았다”며 “효율적 내부 통제 체계를 위해 세분화한 보안 조직이 사일로(Silo)화되면서 오히려 역효과를 일으켰다”고 말했다.

김동현 크리밋 대표는 “비즈니스 우선 조직에서 핵심 기능을 담당하고 서비스 영향이 큰 서명키까지 보안팀이 관리하기엔 현실적 제약이 뒤따른다”며 “노출된 NHI를 찾아 선제적으로 대응하고, 보안팀의 내부 통제를 지원하는 보안문화 구축을 위한 전사적 지원이 필요하다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

조재호기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [쿠팡 해킹] 쿠팡 앱 ‘내정보관리’에 낯선...

• 2

  [쿠팡 해킹] ‘피해보상’·‘환불’ 등 쿠팡...

• 3

  [쿠팡 해킹] 3370만명 털어놓고 “보안 ...

• 4

  [쿠팡 해킹] 내부자 소행에 무게... “인...

• 5

  [쿠팡 해킹] 정부 “3개월간 개인정보 불법...

• 1

  또 터진 ‘공급망 보안’... 오픈AI, 협...

• 2

  [김정덕의 보안 다반사-12] 손흥민의 리더...

• 3

  [배종찬의 보안 빅데이터] IT 보안보다 더...

• 4

  사람 ‘뇌’도 해킹 당한다... AI 시대 ...

• 5

  넷마블, 해킹 당해 개인정보 유출… “주민번...

• 1

  AI 에이전트, 사이버전 판 바꾼다…“방어자...

• 2

  중국 연계 ‘플러시데몬’ 해커 그룹, SW...

• 3

  오현주 국가안보실 3차장 “보안이 곧 경영”