넷마블→업비트→쿠팡 `도미노 사고`…처벌보다 시급한 보안통제 재정비

실시간
뉴스

보안

넷마블→업비트→쿠팡 '도미노 사고'…처벌보다 시급한 보안통제 재정비

디지털데일리 발행일 2025-12-03 11:21:37

김보민 기자

URL복사

12월2일 서울 시내 한 쿠팡 물류센터에 배송차량이 대기하고 있다. [사진=연합뉴스]

[디지털데일리 김보민기자] 2025년이 저무는 시점에도 대규모 보안 사고를 좀처럼 잦아들지 않고 있다.

넷마블은 해킹으로 611만명 정보를 유출했고, 가상자산 거래소 업비트는 445억원 규모 자산을 도난 당했다. 사태가 잠잠해질 틈도 없이 쿠팡도 3000만개 이상 고객 계정을 유출했다. 산업군을 가리지 않은 '도미노 보안사고'가 이어지는 모습이다.

보안업계에서는 올해 초 SK텔레콤에서 발생한 대형 해킹 사고만으로 기업 보안 인식을 제고하는 데 한계가 있었다는 평가가 나온다. SK텔레콤이 해킹 사고 이후 1300억원대 과징금을 부과 받는 모습을 봤지만, 여전히 최소한의 보안 조치만 취하는 기업이 만연하다는 취지다. 기업이 자발적으로 내부통제를 강화하고, 보안 체계를 재정비할 수 있는 '채찍과 당근'을 정부가 내놓아야 한다는 의견도 제기된다.

◆ "근본적인 내부통제도 없었다"…ISMS 인증도 '무용지물'

국회 과학기술정보방송통신위원회는 전날 전체회의를 통해 쿠팡이 허술하게 운영하고 있던 내부 관리체계를 지적했다.

현장에 출석한 쿠팡 관계자도 이 점을 인정했다. 브랫 매티스 쿠팡 정보보호최고책임자(CISO)는 이미 퇴사한 내부 직원 소행일 가능성에 대해 "공격자라고 생각되는 사람은 훔친 서명키를 사용해 다른 사용자인 것처럼 가장했다"며 "이후 쿠팡 내부에 있는 프라이빗 서명키를 취득한 후 이 키를 인증해 가짜 토큰을 만든 것"이라고 설명했다.

호텔 객실 키를 발급하는 비밀번호를 내부 개발자가 탈취한 뒤, 계속해서 객실 키를 발급해 고객 정보를 빼돌렸다는 의미다. 다만 쿠팡은 탈취 정보를 악용한 2차 피해는 없다는 입장을 고수했다. 박대준 쿠팡 대표는 "아직 2차 피해는 없는 것으로 안다"고 밝혔다. 박 대표는 이번 사고로 1조2000억원대 과징금이 부과될 수 있다는 이훈기 의원(더불어민주당) 지적에 "책임을 회피할 생각이 없다"고 답하기도 했다. SK텔레콤이 올해 해킹 사고로 1347억원 수준의 과징금을 부과 받은 점을 고려하면 대규모 처벌이 이뤄지는 셈이다.

보안업계에서는 그동안 대외적으로 알려지지 않은 기업의 허술한 보안 체계가 드러났다는 평가가 나온다. 국내 보안기업 관계자는 "세부 조사를 통해 원인이 밝혀지겠지만, 결국 기본적인 내부통제 체계도 갖추지 못했다는 사실이 공개된 것"이라고 평가했다.

통상 직원이 퇴사를 하게 되면 해당 직원의 계정과 접근권한은 자동 삭제되고, 설정을 통해 다른 직원이 이 권한을 획득하게 된다. 재직 및 퇴사 정보가 담긴 인사 데이터베이스(DB)에 접근관리 시스템을 연동해 동기화(프로비저닝)를 하게 되는데, 쿠팡은 이러한 체계를 제대로 운영하지 못했다는 평가가 나온다.

이 관계자는 "접근하는 인증키가 문제였다면 이를 폐기하는 즉각 조치가 필요할 텐데 이조차도 작동하지 못한 것"이라며 "이미 (이상 접근자가) 내부에 들어와 버린 데다 계정뿐만 아니라 인증 관리까지 체계적으로 갖추지 못했으니 대응이 어려웠을 것"이라고 설명했다.

쿠팡이 보안 인력 200명을 갖추고 있고 보안인증 또한 다수 획득했다는 점을 고려했을 때, 사실상 실효성 있는 보안체계를 갖추지 않았다는 점이 드러났다는 평가도 나온다. 국내 기업의 한 보안담당자는 "쿠팡의 경우 이번 사태로 CISO가 컨트롤타워 역할을 못했다는 점이 드러났다"며 "인증도 받았지만 내부통제에서 결국 구멍이 난 것"이라고 말했다.

쿠팡이 프라이버시센터 홈페이지에 공개한 자료에 따르면, 쿠팡은 정보보호및개인정보보호관리체계(ISMS-P), 개인정보보호관리체계 등 국내외 인증을 획득했다. 정부와 국제 기관에서 인증한 쿠팡의 '우수 보안체계'가 제대로 작동하지 않았다는 점을 엿볼 수 있는 부분이다. 이 보안담당자는 "결국 쿠팡뿐만 아니라 기업들이 SK텔레콤 사고를 제3자 입장에서 지켜봤지만, 보안 인식을 제대로 제고하지 못했다는 것"이라며 "거버넌스부터 뜯어고쳐야 할 부분이 한 두가지가 아니다"라고 꼬집었다.

◆ 정부 결단 남았는데…2차 종합 보안대책 '골머리'

정부는 12월 2차 범부처 정보보호 종합대책을 공개할 예정이다. 지난 10월 발표한 1차 종합대책에는 공공, 금융, 통신 등 정보기술(IT) 시스템 1600여개를 대상으로 보안 취약점을 점검하고 반복적으로 사고를 낸 기업에게 징벌적 과징금을 부과하는 내용이 담겼다.

대규모 사고가 공공, 금융, 통신이 아닌 가상자산 거래소, 유통, 게임 산업에서 발생한 만큼 이에 대한 대책도 포함돼야 할 것으로 보인다. 배경훈 부총리 겸 과학기술정보통신부 장관은 전날 현안질의를 통해 "징벌적 손해배상을 통해 (쿠팡과 같은) 일이 다시 일어나지 않도록 하는 것이 중요하다"며 "연내 2차 발표를 통해 (부족한 부분을) 보완하도록 하겠다"고 의지를 재확인했다.

보안업계에서는 역대 정부에서 보안에 대한 중요성을 강조해왔지만 이에 대한 메시지가 기업에 닿지 못했다는 토로도 나오고 있다. 정부 제로트러스트 사업에 참여한 한 기업 관계자는 "내부통제 이슈는 제로트러스트 핵심이기도 하다"며 "정부가 2023년 가이드라인을 발표한 이후 개정 작업과 시범사업을 거치며 이를 강조해왔지만, 사고가 터지지 전까지는 이를 현실로 체감할 만한 움직임은 더딘 상황"이라고 전했다.

특히 정부가 공공기관 인공지능(AI) 활용을 장려하기 위해 망규제를 완화하기 시작했고, 금융당국 또한 망분리 완화를 전제로 AI 활용을 늘리고 있어 이에 대한 세밀한 대책도 필요해질 전망이다. 이 관계자는 "동적으로 이상행위를 탐지해 연결을 끊거나, 생체인증 등을 요구해 세션을 관리하는 등 시스템 측면의 기술 대책도 필요할 것"이라며 "처벌 수위를 높이는 것도 답이 될 수 있겠지만, 결국 근본적인 취약점을 보완할 수 있도록 가이드라인을 제공하는 것도 정부의 숙제가 될 전망"이라고 말했다.

한편 이재명 대통령이 전날 "초연결 디지털 사회를 맞아 새로운 디지털 보안 제도를 조속히 시행해달라"고 촉구한 만큼, 국가안보 차원의 중장기 대책도 재편될 것으로 예상된다. 국가안보실 중심 사이버 컨트롤타워를 강화하고 사전예방 체계를 갖추도록 독려하는 대안이 마련될 가능성이 점쳐지고 있다.