업계, 정기·수시 점검 강화…서버·DB 접속 이력 재점검
“쿠팡, 외형 성장 대비 느린 내부 관리 속도” 지적도
▲1일 서울 시내 한 쿠팡 물류센터 인근에 차량이 주차돼 있다. 사진=쿠팡
대규모 고객정보 유출로 쿠팡의 내부 관리 부실 논란이 확산되는 가운데, 이를 지켜본 이커머스 경쟁사들도 보안 체계 강화에 속도를 내고 있다.
1일 유통업계에 따르면, 현재 11번가는 고객 배송정보·결제 정보 데이터베이스(DB)를 분리해 관리 중이다. 여기에 개인정보처리시스템의 대량 조회 기록을 상시 점검하고 있다. 서버·DB의 경우 과다 사용 이력·허용되지 않은 접속 시도에 대한 상시 점검도 실시하고 있다.
11번가 관계자는 “현재 보안관제전문서비스를 통해 24시간 365일 침해위협을 모니터링 중"이라며 “이번 쿠팡 사태와 관련해 서버·DB 접속 이력에 대한 재점검도 나설 예정"이라고 말했다.
컬리도 내부 보안 협의체를 중심으로 추가 점검에 나선다. 정기적으로 수행해 온 보안 점검 체계와 별도로, 유사 유형의 사고 발생 가능성을 줄이기 위함이다. 이 밖에 SSG닷컴 역시 정기·수시 점검과 내부 통제를 지속 강화하고 있다는 입장이다.
업계에서는 쿠팡이 IT 투자액 중 정보보안에 연간 수백억 원의 예산을 붓고 있으나, 급하게 불린 체급 대비 내부 관리 속도가 따라오지 못하고 있다고 분석하고 있다.
한 이커머스 업체 관계자는 “통상 이커머스 업체별로 정보보안 체계가 상이한데, 예컨대 그룹 내 보안업체가 있어서 전사적으로 진행하는 경우도 있다"면서 “여기에 타사 사례를 통한 리스크 관리 레퍼런스가 쌓이면 보안성을 높이는 기회로 작용할 수 있는데, 이 같은 점에서 쿠팡이 다소 부족하지 않았나 판단된다"고 설명했다.
한편, 이번 유출 사태와 관련해 업계에서는 내부 통제 이슈라는 사고 경위 관측에 초점을 맞추고 있다. 유력 용의자로 꼽히는 A씨는 쿠팡에서 인증 업무를 맡았던 중국 국적의 전직 직원으로 알려졌다. 일각에서는 A씨가 퇴사 후에도 쿠팡 내부에서 사용하던 액세스 토큰 서명키를 악용해 범행을 저지른 것이라는 주장도 제기됐다.
최민희 국회 과학기술정보방송통신위원회 위원장이 쿠팡으로부터 제출 받은 자료를 분석한 결과, 인증 업무 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 직원 퇴사 이후에도 폐기되거나 갱신되지 않았다. 인증 토큰은 일종의 전자 출입증으로, 보유 시 로그인 없이 시스템에 접근할 수 있다.
이커머스업계 관계자는 “보통은 퇴사자가 나갈 때 접속 권한도 함께 사라진다"며 “인증키 기반이든 어떤 출입증격인 것이 그대로 살아있던 것이라면, 그 자체로 내부 통제 시스템에 문제가 발생한 것"이라고 설명했다.
;){kind=link}