쿠팡, 해외 셀러들에 대한 검증 제대로 되고 있는지
쿠팡 고객 정보를 판매한 해커, ‘vespiary’...돈 벌이 목적 해커
쿠팡 고객정보 46만건 유출이 이슈가 되고 있다. 한겨레 보도 이후 데일리시큐는 쿠팡 고객정보가 어떻게 유출됐고 이 사건을 바라보는 쿠팡 내부 시각 그리고 쿠팡 내부에 어떤 문제점들이 있는지 살펴봤다.
데일리시큐는 사이버위협 인텔리전스 전문가와 함께 쿠팡 고객정보 유출과 관련 자료를 조사한 결과, 쿠팡 고객정보 46만건 이상을 판매하겠다고 올린 해커는 ‘vespiary’라는 닉네임을 사용하고 있다.
‘vespiary’는 러시아어를 사용하는 해커로 러시아 포럼에 쿠팡 고객정보를 판매하겠다고 지난 1월에 게시한 것이다.
해커가 게시한 내용에는 쿠팡 보다는 CJ 물류 정보로 표기돼 있지만 이 부분은 쿠팡 배송을 CJ대한통운이 담당하고 있기 때문에 발생한 문제로 CJ대한통운은 이번 사건과 관련이 없어 보인다.
해커는 46만8천 라인의 정보를 확보하고 있다며 이를 판매하겠다는 의사를 밝혔다. 샘플 데이터에는 주문자 정보가 그대로 노출돼 있었다. 이름, 주소, 전화번호를 비롯해 오더ID, 물품 내용, 휴대폰 기기종류, 배송방법 등 구체적인 정보들이 보인다.
국내 이커머스 전문가는 “오더ID만 알아도 쿠팡은 어느 판매처에서 이번에 해킹을 당한 것인지 알 수 있을 것이다. 그 정보에 고객 정보 뿐만 아니라 판매자 정보도 다 들어있다”고 말한다. 즉 해킹당한 곳을 특정할 수 있다는 것이다.
한편 ‘vespiary’는 한국 이외 다른 나라 기업들의 정보도 유출해 판매하고 있으며 2020년 7월부터 러시아 해커포럼에 600개 이상의 DB판매게시글을 올리는 등 활발하게 활동하고 있는 해커다. 주로 데이터베이스를 해킹해 판매하는 유형의 해커로 추정된다. 특히 한국인 개인 정보에 많은 관심을 가지고 있는 해커로 볼 수 있다.
또 다른 전문가는 “‘vespiary’는 지난해 11월 18일 경, 중국 전자부품회사 데이터를 판매한다는 게시글도 올린 바 있으며, 올해 1월에는 사우스아프리카 은행 고객 데이터도 판매한다는 글을 올린 바 있다. 이 조직은 데이터를 해킹해 이를 판매해 돈을 벌기 위한 조직으로 특정된다”고 전했다.
한편 쿠팡은, 이번 사건을 모 사이버위협 인텔리전스(CTI) 기업이 다크웹에 올라 온 정보를 전달해 줘서 처음 알게 됐다.
쿠팡은 최초 샘플 데이터를 받고 확인한 결과 쿠팡 고객정보임을 인지했다. 이후 해커 ‘vespiary’가 판매한다는 쿠팡 고객정보를 구매하기 위해 특정 기업에 의뢰했고 실제 46만건 이상의 유출된 쿠팡 고객데이터를 구매했다.
쿠팡이 유출된 데이터를 구매하자 ‘vespiary’는 해당 게시물에 “판매됨, 활성화 상태가 아님”이라고 표기했다. 즉 쿠팡이 구매했다는 증거로 볼 수 있다. 다시말해 1월 25일 이후 쿠팡측은 해당 데이터가 자신들의 고객 데이터임을 알고 있었다는 것이다.
쿠팡은 이 데이터를 얼마에 구매했을까. 1,200달러에 구매했다. 우리돈 대략 150만원 정도. 하지만 쿠팡이 이 데이터를 구매했다고해서 ‘회수’ 했다고는 말할 수 없다.
아마도 이 고객데이터는 여러 해커들에 의해 판매가 지속적으로 될 것이며 쿠팡 고객은 피싱이나 보이스피싱 등에 시달릴 수 있는 위험성에 지속적으로 노출될 수 있다. 또한 쿠팡측에 돈을 요구하며 협박하는 해커도 늘어날 것으로 보인다. 이미 쿠팡은 다른 해커에 의해 협박을 받았을 수도 있다.
쿠팡은 자신들의 시스템에서 고객정보가 유출된 것이 아니라고 말한다. 즉 쿠팡과 거래하는 판매 기업에서 유출사고가 발생한 것으로 결론짓고 있다.
데일리시큐도 조사 결과, 이번 유출 사건은 쿠팡에서 물건을 판매하는 중국 셀러가 해킹을 당한 것으로 추정된다. 쿠팡 뿐만 아니라 국내 오픈마켓 대부분이 중국뿐 아니라 여러나라 셀러들의 입점을 허용하고 있다.
여기서 문제는 쿠팡이 중국 셀러 입점 허가시 어느정도 검증을 하고 있냐는 점이다. 국내 쿠팡 고객정보가 중국 셀러에게 넘어가기 때문에 최소한이라도 셀러들이 어떻게 고객 데이터 관리를 하고 보호시스템은 어느정도 갖추고 있는지 확인 절차 혹은 가이드라인 제시는 필요한 상황이다.
그리고 확인 결과, 중국 셀러들은 쿠팡에서 주문이 들어오면 매번 로그인을 해서 주문자 정보 및 상품, 사이즈, 통관부호 등을 확인하는 절차가 번거로워, 이를 자동으로 처리해 주는 업자들을 활용하고 있는 상황이다. 이런 가운데 쿠팡 고객정보는 허술하게 관리될 수밖에 없고 해커의 먹잇감이 될 수 있는 상황이다. 이번 쿠팡 고객정보 유출도 이런 허술한 고객관리 시스템에서 발생한 문제로 보여진다.
쿠팡 충성고객이라는 한 사용자는 “쿠팡을 통해 중국 물건을 구매할 때가 있지만, 결국 쿠팡이라는 브랜드를 믿고 개인정보를 건내주는 것이다. 즉 내 정보를 쿠팡이 잘 관리하고 안전하게 사용할 것이란 믿음이 있기 때문에 사용하는 것이다. 그런데 내 정보가 해외로 넘어가서 어떻게 관리되는지도 모르고 해킹될 위험성에 노출되고 있다면 쿠팡을 신뢰할 수 없게 될 것”이라고 말했다.
하지만 쿠팡은 이번 사건이 제3자 제공 즉 판매자 시스템에서 유출된 사건이기 때문에 개인정보보호법 등 법적 책임은 없다고 주장한다.
그러나 쿠팡은 인텔리전스 기업으로부터 정보유출 및 판매시도 정황을 알게 됐고 이후 제3의 루트를 통해 해커가 판매하는 46만건 이상의 고객데이터를 입수해 쿠팡 고객 데이터라는 것을 확인했다.
이런 상황에서도 법적 책임을 떠나 쿠팡을 믿고 고객정보를 제공한 고객들을 위해 어떠한 조치도 취하지 않았다는 점에서 이후 법적 논쟁에서 불리한 위치에 서게 될 수도 있을 것으로 보인다.
한편 1월 25일 이후 다크웹에서 쿠팡 고객정보 46만건 이상이 판매되고 있다는 것을 한국인터넷진흥원(KISA)도 인지했다. 여기서 아쉬운 부분은 KISA에서 보다 적극적으로 쿠팡의 고객 다시말해 한국인들에게 2차 피해가 발생하지 않도록 쿠팡측에 강력한 후속조치 이행을 요구했어야 한다는 전문가들의 목소리도 있다. 왜냐하면 해당 정보는 보이스피싱에 악용하기 딱 좋은 정보들이기 때문이다.
더불어 쿠팡의 또 다른 문제는 내부에 존재한다는 시각도 있다. 즉 이번 사건을 바라보는 쿠팡 내부조직의 문제점이다.
1월 25일 이후 쿠팡 고객정보 샘플을 입수했고, 더 나아가 46만건 데이터 전체를 확보해 확인했음에도 불구하고 쿠팡 내부시스템의 해킹도 아니고 제3자 제공에 따른 법적 책임도 없다며 고객들에게 어떠한 사과나 주의공지 혹은 관련 기관에 협조를 요청하는 모습을 보이지 않고 있다. 왜 그럴까.
쿠팡 임원조직은 70% 이상이 외국인이다. 상대적으로 한국인 임원은 인원수도 적고 내부에서 힘있는 목소리를 낼 수 있는 상황이 아니다. 즉 이번 사고에서 국내 CPO가 쿠팡 고객을 위해 사건 인지 초기에 고객에게 알리고 주의를 당부하는 등 일련의 보호조치를 취하자고 강하게 말할 수 있는 분위기가 아니라는 것이다. 쿠팡 외국인 임원들은 이번 사고에서 법적 책임이 없는데 홈페이지에 공지하고 사과문을 발표하는 것은 브랜드 이미지에 타격을 줄 수 있기 때문에 그냥 넘어가자는 입장을 고수했을 가능성이 크다. 쿠팡의 브랜드 인지도는 어디서부터 나오는 것일까. 쿠팡 고객이 위험에 처한 상황임에도 법적 잣대만 갖다대고 있다면 쿠팡의 브랜드 인지도는 어떻게 될까.
개인정보보호위원회는 이번 사건에 대해 조사를 진행중이라고 밝혔다. 하지만 이번 사건은 정보유출과 2차 피해 최소화에 초점을 맞추면서도, 더 나아가 쿠팡의 해외 셀러들에 대한 심사 기준과 내부 임원들의 거버넌스 체계 문제까지 문제 삼아야 한다는 전문가들의 의견이 크다. 더불어 국내 기업들이 해외 셀러들과 거래시 해외로 넘어가는 한국인 정보를 어떻게 보호해야 하는지에 대해 좀더 신중히 들여다 보고 법적 문제를 개선해야 할 것으로 보인다.
이경호 고려대 정보보호대학원 교수는 “이번 쿠팡 고객정보 유출 사고는 아직 어떤 경위로 유출이 됐는지 확인이 안되기 때문에 명확한 의견 제시는 힘든 상황이지만, 제3자 제공에 의한 법적 책임 문제, 개인정보 국외이전 문제 등 고려해야 할 점들이 있는 것 같다”며 “쿠팡이 중국을 비롯해 해외 셀러의 판매 허가시 한국인 정보가 중국 등 해외로 넘어간다는 것을 알고 있기 때문에 이 부분에 대한 관리 부분이 보다 강화되어야 할 것으로 보인다. 또 해외 셀러측에서 정보가 유출된 것을 쿠팡이 확인했다면 반드시 신고할 의무는 없다 할지라도 쿠팡 고객 보호차원에서 최선을 다하는 모습을 보이는 것이 바람직하다고 볼 수 있다. 특히 이런 부분은 CEO가 직접 나서서 쿠팡 고객 보호를 위한 조치를 취해야 한다고 생각한다. 거버넌스 확립은 대표이사의 의지에 달렸다”고 강조했다.
★정보보안 대표 미디어 데일리시큐!