국내 1위 e커머스 업체 쿠팡에서 3000만개가 넘는 고객 계정 정보가 외부로 빠져나갔다. 퇴사한 중국 국적 직원이 내부 자료를 유출한 것으로 알려지면서 내부자 보안 중요성이 커지고 있다. 특히 외부 침투(SK텔레콤·KT), 공급망 보안(LG유플러스)에 이어 이번에 내부자 유출까지 개인정보 유출의 세 가지 유형이 모두 발생하면서 기업·기관이 개인정보 관리를 원점부터 재점검해야 한다는 목소리가 나온다.
◇2011년 이후 최대 규모 유출…정부 “2차 피해 없도록 보안 공지”
쿠팡이 확인한 유출은 고객 계정 약 3370만개다. 쿠팡은 “노출된 정보가 고객 이름과 이메일·전화번호·주소·일부 주문정보로 제한됐고 결제 정보와 신용카드 번호는 포함되지 않았다”고 설명했다.
쿠팡은 또 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 했다. 사실상 5개월 간 유출 사실을 알지 못했던 만큼 2차 피해를 포함해 정확한 피해규모는 당장 파악하기 어려운 실정이다.
이번 개인정보 유출은 지난 2011년 약 3500만명의 고객정보를 유출한 싸이월드·네이트 사례 이후 역대 최대 규모다. 사실상 쿠팡 고객 대부분의 계정정보가 흘러 나간 것으로, 성인 네 명 가운데 세 명의 개인정보가 유출된 셈이다.
더욱이 이번 개인정보 유출 사고는 해킹 등 외부 침입이 아닌 쿠팡에 근무했던 중국 국적자, 즉 내부자 소행에 무게가 실리고 있다.
정부도 사태 심각성을 인지하고 즉각적인 조사에 나섰다. 더불어 2차 피해를 막기 위한 대책을 강구했다.
배경훈 부총리 겸 과기정통부 장관은 30일 오후 정부서울청사에서 긴급 관계부처 장관회의를 열고 “이번 사고를 악용해 피싱·스미싱 공격을 통해 개인 정보 및 금전 탈취 등 2차 피해가 발생하지 않도록 대국민 보안 공지도 진행하고 있다”며 “국민 여러분께서는 쿠팡을 사칭하는 전화나 문자 등의 각별한 주의를 부탁드린다”고 당부했다.
최우혁 과기정통부 네트워크정책실장은 이날 회의를 마친 뒤 기자들과 만나 중국인 내부 직원 소행과 관련해 “수사의 영역으로, 회의에서 경찰이 공유한 내용이 있지만 아직 밝히긴 어렵다”면서 “현재까지 발견된 악성코드는 없고, 확인되는 대로 검증과 검증을 거친 뒤 충분히 말씀드릴 것”이라고 말했다.
또, 한국인터넷진흥원(KISA)은 29일 보안 공지를 통해 “'피해보상', '피해 사실 조회', '환불' 등 키워드를 활용한 피해기업 사칭 스미싱 유포 및 피해보상 안내를 빙자한 보이스피싱 등 피싱 시도가 예상된다”고 경고했다.
◇외부 침입, 공급망 관리에 이어 내부 소행까지…“개인정보 관리체계 전반 살펴야”
이번 사고로 개인정보 관리 체계 전반을 살펴봐야 한다는 의견에 힘이 실리고 있다.
올해 SKT와 KT는 각각 유심 해킹과 무단 소액결제 등 외부자 침입에 의해 사고가 발생한 반면 이번 쿠팡 유출 사고는 내부자 관리 부실에 따른 사고다. LG유플러스는 협력사를 통한 공격으로 공급망 보안이 문제로 거론된다. 외부 침입, 공급망 관리부터 이번에 내부자 소행까지 개인정보 유출 모든 유형이 벌어진 것이다.
정보보호 및 개인정보보호 관리체계(ISMS-P)에서도 외부자 보안은 물론 인적보안, 접근통제, 인증 및 권한 관리 등 보호 대책을 요구한다. 특히 인적보안 사고 상당수가 내부자나 협력업체로부터 발생하기에 관리가 필수다.
한 정보보호 관계자는 “직무와 무관한 정보에 접근할 수 없도록 차단하고 접속기록을 점검해 이상 징후를 즉각 발견할 수 있는 시스템을 도입해야 한다”며 “인사, 영업, 정보기술(IT) 등 부서별 책임자를 지정하고 접근권한 범위를 최소화해야 한다”고 말했다.
한편, 회의 참석한 박태준 쿠팡 대표는 대규모 개인 정보 유출 피해 보상 관련 지적에 대해 “일단 피해 범위와 유출 내용을 명확히 확정하고 재발방지 대책을 마련하겠다”며 “이런 부분이 확정되면 합리적 피해보상 방안을 수립할 수 있을 것으로 생각한다”고 말했다.
조재학 기자 2jh@etnews.com
