KISA, CBPR 인증 위반 조사 중
사실관계 확인 후 인증 취소 결정
퇴사 직원이 유효 인증키 사용 추정
역대 최대 개인정보 유출 사고가 터진 쿠팡이 국가 공인 개인정보 보호 인증을 획득한 것으로 파악되면서 국내 인증체계에 허점이 생겼다는 지적이 제기되고 있다. 보안 담당자에게 발급되는 액세스 토큰을 장기간 방치했다는 주장이 나오는 등 쿠팡 내부 보안망 관리에 대한 총체적 부실이 속속 드러나고 있다.
사실관계 확인 후 인증 취소 결정
퇴사 직원이 유효 인증키 사용 추정
■"국제 개인정보보호 인증 위반 조사"
1일 업계에 따르면 과학기술정보통신부 산하 한국인터넷진흥원(KISA)은 쿠팡의 글로벌 국경 간 프라이버시 규칙(CBPR) 인증 위반 여부를 조사 중이다. KISA는 쿠팡 측에 개인정보 유출 경위와 관련된 자료 제출을 요구했다. KISA는 사실관계를 면밀히 들여다본 후 인증 취소를 결정할 방침이다.
CBPR은 회원국 기업의 개인정보 보호체계를 평가하는 글로벌 개인정보보호 인증 제도다. 글로벌 CBPR을 국외이전 수단으로 채택한 일본, 싱가포르는 CBPR을 자국의 개인정보 보호법과 동등한 보호체계로 간주한다.
■"인증키 이용해 개인정보 탈취 추정"
쿠팡이 내부 보안체계 관리에 허술했던 정황들도 파악되고 있다. 실제 쿠팡은 지난 6월 첫 고객정보 탈취 시도 이후 5개월이 지나도록 이를 인지하지 못했다. 인증 관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키를 장기간 방치했다는 주장도 제기됐다.
국회 과학기술정보방송통신위원회 소속 더불어민주당 최민희 의원은 퇴사한 쿠팡 직원이 기존에 발급받은 서명된 액세스 토큰의 유효 인증키를 사용해 개인정보를 빼낸 것으로 추정했다. 쿠팡은 최 의원실에 보낸 토큰 서명키 유효인증기간에 대한 답변에서 "5~10년으로 설정하는 사례가 많다는 걸로 알고 있다. 로테이션 기간이 길며, 키 종류에 따라 매우 다양하다"고 언급했다. 다만 쿠팡은 이번 해킹에 악용된 인증키 유효기간에 대해서는 경찰 수사를 이유로 답하지 않았다.
과방위는 이달 2일 긴급 현안질의를 개최해 쿠팡 개인정보 유출 경위를 집중 추궁하기로 했다. 과기정통부, KISA 등 유관기관과 쿠팡 박대준 대표와 쿠팡 정보보안 담당자 등 경영진이 모두 참석할 것으로 전망된다. 이어 3일에는 정무위원회가 현안질의를 열어 개인정보보호위원회, 국무조정실, 금융위원회, 금융감독원, 공정거래위원회 등 관계 기관과 쿠팡 관계자들을 상대로 사태 발생 경위, 재발 방지대책 등을 따져 묻기로 했다.
김승주 고려대 정보보호대학원 교수는 "주요 키들에 접근할 수 있는 직원이 퇴사하게 됐음에도 해당 키들을 리셋하지 않은 것으로 보인다"면서 "정상 사용자로 위장한 채 수개월간 지속된 비정상적 크롤링(웹사이트 정보를 자동화된 프로그램으로 탐색·수집)을 탐지하지 못했다는 점에서 해당 기업이 책임을 회피하기는 어려워 보인다"고 했다.
mkchang@fnnews.com 장민권 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지