IT보안. 쿠팡 사태, 결국 사람이 문제였다.
- 3,370만 명이 털린 건 해킹이 아니었다 -
2025년 11월, 쿠팡 회원 약 3,370만 명의 개인정보가 유출됐다. 이름, 주소는 물론 공동현관 비밀번호까지 털렸다. 사실상 이 글을 읽는 당신도 예외는 아닐 것이다.
지난번 제로 트러스트 글을 쓰며 이론만 늘어놓는 것보다 확실한 실전 사례가 필요하다고 생각했다. 멀리 갈 것도 없었다. 이번 사태야말로 제로 트러스트가 왜 필요한지 보여주는 가장 '교과서적인 오답'이었으니까.
그런데 이 사건, 처음에 다들 '또 해킹당했네'라고 했다. 틀렸다.
외부 해커가 아니었다.
범인은 중국인 전직 직원이었다. 재직 당시 JWT 서명키(서버가 사용자를 인증할 때 쓰는 핵심 보안 키)를 개인 노트북에 고스란히 담아뒀다. 그리고 퇴사 후에도 그 키를 이용해 6개월 넘게 시스템에 무단 접근했다.
지능적인 해킹도 아니었다. 마스터키를 들고나간 전 직원에게 6개월 동안 아무도 자물쇠를 바꾸지 않은 것뿐이다.
JWT(JSON Web Token) : 서버가 '이 사람은 인가된 사용자입니다'라고 서명해 주는 일종의 도장 같은 것. 서명키가 있으면 도장을 마음대로 찍을 수 있다.
필드에서 보면 더 황당하다.
필드에서 닳고 닳게 구른 입장에서 봐도 황당함 그 자체다. 고도화된 APT 공격이나 제로데이 취약점 같은 거창한 이야기가 아니다. 아주 기본적인 보안 수칙 세 가지가 동시에 무너졌다.
첫째, 퇴사자 권한 회수다. 누군가 회사를 떠나면 그날로 모든 접근 권한을 막는 건 이 업계에서 첫 주에 배우는 내용이다. 6개월이라는 숫자가 그냥 나온 게 아니다. 아무도 확인하지 않았다는 뜻이다.
둘째, 핵심 보안 키의 관리 문제다. JWT 서명키 같은 민감한 자격증명은 전용 보안 시스템(Vault 등)에서만 관리해야 한다. 개인 노트북에 저장하는 행위는 보안 규정상 당연히 금지 항목이다. 그런데 아무도 제재하지 않았다.
셋째, 탐지 체계의 부재다. 6개월 동안 퇴사자 계정으로 반복적인 비정상 접속이 이뤄졌는데도 보안팀이 몰랐다. 알게 된 계기가 고객 민원이었다는 건 탐지 자체가 작동하지 않았다는 의미다. 조사단이 '총체적 부실'이라는 표현을 쓴 게 과하지 않다.
8살짜리 우리 회사 우책임 아들인 서진이에게 상황을 설명한다면 이렇다.
"삼촌이 회사를 그만두면서 보물창고 만능열쇠를 주머니에 넣고 집에 갔어. 그런데 회사가 6개월 동안 자물쇠를 안 바꿔서, 삼촌이 매일 밤 몰래 들어가 장난감을 다 가져왔는데 아무도 몰랐대."
서진이가"삼촌!! 회사가 바보야?"라고 물어볼 법한 일이 대한민국 대표 IT 기업에서 일어났다.
그래서 이게 왜 더 무서운가
국가 배후의 APT 공격은 막기 어렵다. 진짜로. 아무리 잘 갖춰진 보안 조직이라도 정교한 지능형 공격을 100% 막는다는 건 현실적으로 불가능에 가깝다. 그건 이 바닥에 있는 사람이라면 다 안다.
그런데 이번 쿠팡 사태는 그런 얘기가 아니다. 퇴사자 권한 미회수, 보안 키 무단 반출, 탐지 체계 미작동. 이 세 가지는 보안 예산이나 기술 수준의 문제가 아니다. 규정이 있어도 지키지 않고, 체크리스트가 있어도
확인하지 않는 조직 문화의 문제다. 막을 수 없어서 뚫린 게 아니라, 막으려는 노력을 안 해서 뚫린 거다. 이 차이가 크다.
국가도 그렇고 쿠팡도 그렇고 모든 시스템이 엇박자를 타면 그게 망하는 날이다.그런데 말이다. 조금 솔직해 보자. 비단 이런 부실이 쿠팡만의 문제일까? "우리 회사는 다를까?"라고 자신할 수 있는 IT 담당자가 얼마나 될까. 규모만 달랐지, 비슷한 구조적 문제는 도처에 널려 있다.
보안은 사고 나면 욕먹고, 안 나면 존재감 없는 부서다. 사건 직후에만 반짝 "보안 투자"를 외치다 6개월 뒤면 다시 제자리로 돌아가는 게 이 바닥의 현실이다. 하지만 이번만큼은 그 제자리가 어디인지 다들 다시 한번 돌아봤으면 한다.