“인증은 있었지만, 보안은 부족했다”

2025년 말 국내 최대 전자상거래 플랫폼인 쿠팡에서 약 3,367만 건 규모의 개인정보 유출 사건이 발생했습니다. 이는 국내 전자상거래 업계 역사상 최대 수준의 개인정보 유출 사고 중 하나로 평가됩니다. 정부 조사 결과에 따르면 단순 외부 해킹이 아니라, 퇴사자의 내부 정보 악용과 인증 체계 취약점이 복합적으로 작용한 사건으로 드러났습니다.

이번 사건은 단순한 개인정보 유출을 넘어 다음과 같은 중요한 보안 문제를 드러냈습니다.

  • 퇴사자 권한 관리 실패
  • 인증 체계 설계 결함
  • 키 관리(Key Management) 부실
  • 로그 보존 및 모니터링 미흡
  • 내부자 위협(Insider Threat) 대응 부족
  • Zero Trust 부재

특히 정상 권한과 내부 구조 지식을 가진 사용자가 공격을 수행했다는 점에서 기존 경계형 보안 체계의 한계를 보여준 대표 사례로 평가됩니다.

사건 개요

정부 조사 결과에 따르면 공격자는 쿠팡 재직 당시 확보한 내부 인증 구조와 서명키(Signing Key)를 활용해 장기간 시스템에 접근했습니다. 공격자는 위조한 전자 출입증 형태의 인증 토큰을 생성하여 정상 로그인 절차를 우회했고, 이를 통해 대규모 고객 정보를 열람했습니다.

유출된 정보에는 다음과 같은 민감 정보가 포함된 것으로 알려졌습니다.

  • 이름
  • 이메일 주소
  • 전화번호
  • 배송지 주소
  • 최근 주문 정보
  • 공동현관 비밀번호 일부
  • 배송 요청사항

또한 단순 조회 수준이 아니라 자동화된 크롤링 스크립트를 통해 장기간 대량 수집이 이루어진 것으로 조사되었습니다.

공격 방식 분석

1. JWT 서명키 탈취 및 인증 우회

공격자는 재직 시절 확보한 서명키를 이용해 인증 토큰을 직접 생성했습니다.

JWT(JSON Web Token)는 일반적으로 서버가 사용자를 인증할 때 사용하는 토큰 기반 인증 방식입니다. 서버는 비밀 서명키로 토큰에 서명하고, 시스템은 이 서명이 유효한지만 확인합니다.

이번 사건에서는 다음 문제가 드러났습니다.

  • 서명키가 개발자 개인 PC에 저장됨
  • 키 사용 이력 추적 미흡
  • 키 접근 통제 부족
  • 키 중앙 관리 체계 부재

결국 공격자는 정상 인증 절차를 거치지 않고도 “정상 사용자처럼 보이는 토큰”을 생성할 수 있었습니다.

인증 시스템은 존재했지만, ‘누가 키를 사용할 수 있는가’에 대한 통제가 부족했던 것입니다.

2. 내부자 위협(Insider Threat)

이번 사건의 핵심은 외부 해커보다 내부 지식을 가진 공격자라는 점입니다.

내부자는 다음 정보를 이미 알고 있습니다.

  • 시스템 구조
  • 인증 방식
  • 접근 경로
  • 로그 정책
  • 탐지 우회 방법

이 때문에 일반적인 방화벽이나 IPS만으로는 대응하기 어렵습니다.

내부자 위협의 가장 큰 특징은 ‘정상 권한’을 사용한다는 점입니다. 기존 보안 장비는 외부 침입 탐지에는 강하지만, 정상 계정 기반의 악의적 행위를 탐지하는 데 한계가 있습니다.

쿠팡 보안 체계의 문제점

1. 퇴사자 권한 관리 실패

보안에서 퇴사자 계정 관리는 매우 중요합니다.

하지만 이번 사건에서는

  • 인증 관련 정보가 완전히 회수되지 않았고
  • 키 관리가 중앙화되지 않았으며
  • 개발자가 로컬 환경에 키를 저장할 수 있었고
  • 접근 권한 정리가 미흡했습니다.

많은 기업이 퇴사자 처리 시 이메일 계정 비활성화 정도만 수행하지만,
실제 위험은

  • API 키
  • 클라우드 자격 증명
  • SSH 키
  • 인증 토큰
  • 내부 시스템 구조 지식

등에 남아 있습니다.

2. Zero Trust 모델 부재

Zero Trust의 핵심 원칙은 절대 신뢰하지 말고 항상 검증하는 것입니다.

하지만 이번 사건에서는

  • 정상 토큰이라는 이유만으로 신뢰
  • 반복적 대량 접근 탐지 부족
  • 비정상 위치/IP 분석 미흡
  • 사용자 행위 기반 탐지 부재

등의 문제가 나타났습니다.

공격자는 2,313개의 IP를 사용하며 접근을 시도했지만, 장기간 탐지되지 않았습니다.

이는 단순 인증 성공 여부만 확인했을 뿐, ‘행위 자체의 이상성’을 분석하지 못했다는 의미입니다.

3. 로그 보존 실패

정부 조사에서는 접속 로그 일부가 삭제된 사실도 확인되었습니다.

로그는 단순 기록이 아니라 침해 원인 분석, 피해 범위 산정, 공격 흐름 추적, 포렌식 분석, 법적 대응등의 핵심 자료입니다.

특히 클라우드 환경에서는

  • API 호출 로그
  • IAM 변경 로그
  • 인증 이벤트
  • 데이터 접근 로그

를 장기간 안전하게 보관해야 합니다.

로그가 없다면 공격을 탐지하기도 어렵고, 사고 이후 복구와 책임 규명도 불가능해집니다.

왜 이 사건이 위험한가

이번 사건이 특히 위험한 이유는 단순 개인정보 유출을 넘어 실제 물리적 위험 가능성까지 존재했기 때문입니다.

배송 정보에는

  • 실제 거주지
  • 생활 패턴
  • 공동현관 비밀번호
  • 주문 내역

등 현실 공간과 연결되는 정보가 포함되어 있었습니다.

이는 단순 온라인 계정 탈취보다 훨씬 심각한 문제입니다.

특히 전자상거래 플랫폼은

  • 결제 정보
  • 주소
  • 소비 패턴
  • 가족 정보

등 다양한 데이터를 동시에 보유하기 때문에 공격 가치가 매우 높습니다.

기업이 얻어야 할 교훈

1. IAM(권한 관리) 강화

기업은 최소 권한 원칙(Principle of Least Privilege)을 적용해야 합니다.

  • 꼭 필요한 권한만 부여
  • 업무 종료 즉시 회수
  • 권한 변경 이력 기록
  • 정기 권한 감사 수행

이 필요합니다.

2. 키 관리 시스템(KMS) 도입

서명키와 인증키는

  • 개인 PC 저장 금지
  • 중앙 관리 시스템 보관
  • 접근 이력 기록
  • 주기적 키 교체

가 반드시 필요합니다.

클라우드 환경에서는

  • Amazon Web Services의 KMS
  • Microsoft Key Vault
  • Google Secret Manager

등을 활용할 수 있습니다.

3. UEBA/XDR 기반 이상행위 탐지

단순 로그인 성공 여부가 아니라

  • 평소와 다른 접근 패턴
  • 대량 조회
  • 비정상 지역 접근
  • 자동화된 요청

등을 분석해야 합니다.

최근에는 AI 기반 UEBA(User and Entity Behavior Analytics)와 XDR이 내부자 위협 대응 핵심 기술로 주목받고 있습니다.

4. 오프보딩(Offboarding) 프로세스 자동화

퇴사자 보안은 인사팀만의 문제가 아닙니다.

HR, IT, 보안팀이 함께

  • 계정 삭제
  • API 키 회수
  • VPN 차단
  • 클라우드 권한 제거
  • SaaS 접근 종료

등을 자동화해야 합니다.

결론

쿠팡 개인정보 유출 사건은 단순한 “해킹 사건”이 아닙니다.

이 사건은

  • 인증 체계가 왜 중요한지
  • 내부자 위협이 얼마나 위험한지
  • 권한 관리가 왜 핵심 보안 요소인지
  • Zero Trust가 왜 필요한지

를 현실적으로 보여준 대표 사례입니다.

오늘날 기업 보안은 더 이상 “외부 공격 차단”만으로 충분하지 않습니다.

클라우드와 SaaS 환경이 확대되면서 보안의 중심은 네트워크 경계에서 “사용자와 권한”으로 이동하고 있습니다.

결국 현대 보안의 핵심은 “누구도 기본적으로 신뢰하지 않고, 모든 접근을 지속적으로 검증하는 것”으로 정리할 수 있습니다.

쿠팡 사건은 그 원칙이 왜 필요한지를 보여준 대표적인 사례로 오래 기억될 가능성이 높습니다.

Categories:

Updated: