쿠팡 개인정보 유출 사고에 대한 6246억원대 과징금 처분이 행정소송으로 이어질 전망이다. 쟁점은 개인정보 유출 규모와 실제 외부 반출 여부다.
보안업계는 이번 소송이 기술적 증거의 기준점이 될 것으로 내다봤다. 26일 한 보안업계 관계자는 "쿠팡 행정소송이 과징금 규모뿐 아니라 유출 판단 기준을 둘러싼 법리·기술 쟁점까지 걸린 사안"이라며 "소송이 본격화하면 개인정보 사고에서 기술적 증거를 어디까지 요구할지에 대한 기준점이 될 수 있다"고 말했다.
개인정보보호위원회는 지난 10일 쿠팡에 과징금 6246억8100만원과 과태료 1680만원을 부과하기로 의결했다. 개보위는 쿠팡 회원 3322만명의 성명과 이메일이 무단 조회돼 외부로 유출됐고, 비회원까지 포함하면 피해 규모가 3755만명에 이른다고 판단했다.
쿠팡은 처분에 불복해 행정소송을 예고했다. 쿠팡 모회사 쿠팡Inc는 디지털 포렌식 조사 결과 등을 근거로 퇴사 직원이 실제 저장한 개인정보는 3000여개였고, 이마저 삭제됐다는 취지의 입장을 밝혀왔다. 향후 법정에서는 서버상 개인정보 조회 사실을 어느 범위까지 유출로 볼 수 있는지, 실제 외부 저장소로 반출됐는지를 놓고 공방이 벌어질 가능성이 있다.
전날 서울 양재동에서 열린 한국CPO포럼에서 관련 쟁점이 논의됐다. '최근 개인정보보호위원회 제재 처분 의결의 주요 내용 및 시사점'을 주제로 열린 포럼에서 이경호 고려대 정보보호대학원 교수가 쿠팡 사건의 기술적 쟁점과 향후 소송 쟁점을 분석해 발표했다.
이 교수는 행정소송에서 다뤄질 쟁점으로 크게 △유출 규모 산정 △외부 전송 여부 △보안관리 체계 허점 △퇴사자 관리 문제 등 4가지를 꼽았다.
이중 핵심 쟁점은 '유출 규모' 산정이다. 이 교수는 "만약 공격자가 3367만명의 데이터를 실제 전부 화면에서 긁어 기기에 적재했다면 하드디스크 내부 영역에는 대규모 캐시 데이터 파일, 임시 페이징 메모리 덤프와 데이터 가공 파일 조각이 무수히 남아 있어야 한다"면서 "기술적 증적이 3000개뿐이라면 실질적인 대규모 데이터 탈취가 일어나지 않았을 가능성이 법정에서 쟁점이 될 것"이라고 했다.
외부 전송 여부도 주요 쟁점으로 거론됐다. 정부는 해외 클라우드 등으로 정보가 넘어갔을 가능성이 높다고 본다. 반면 이 교수는 서버에서 정보가 조회된 사실과 공격자의 외부 저장소로 데이터가 넘어간 '실질적 반출'은 구분될 수 있다고 주장했다. 그는 "외부 클라우드로 데이터를 전송한 스크립트는 발견됐으나 실제 외부 전송 로그 확인은 안 됐다"며 "서버의 데이터 조회 사실과 공격자의 외부 저장소로 넘어간 실질적 반출은 다른 개념일 수 있다"고도 했다.
독자들의 PICK!
유출 규모와 반출 여부를 둘러싼 공방과 별개로, 쿠팡의 보안관리 체계 허점은 분명히 드러났다는 지적도 제기된다. 이번 침해사고 주체는 쿠팡 내부에서 비상대체용 '폴백' 시스템과 인증 시스템 고도화를 담당했던 퇴사 직원으로 파악됐다. 공격자는 재직 중 취득한 서명키를 활용해 정상 로그인 절차 없이 인증토큰을 만들고, 예측 가능한 회원식별번호를 결합해 개인정보에 접근한 것으로 조사됐다.
이 교수는 이를 '위조 전자 출입증'에 비유했다. 출입증의 형식은 확인했지만, 실제 회사가 정상적으로 발급한 출입증인지까지 확인하는 절차가 부족했다는 의미다.
퇴사자 관리 문제도 지적됐다. 공격자의 계정 접근 권한은 퇴사 때 회수됐지만, 공용 서명키는 바뀌지 않은 채 남아 있었던 것으로 파악됐다. 직원의 사원증은 회수했지만, 여러 시스템에 접근할 수 있는 마스터키는 그대로 둔 셈이다.
