한 해가 저물 무렵이면 우리는 흔히 지나온 시간을 돌아보며 ‘다사다난했던 한 해’라는 말로 정리하곤 한다. 그러나 보안의 관점에서 되돌아본 2025년은, 그 표현만으로는 부족할 만큼 파란만장한 한 해였다. SK텔레콤의 유심 정보가 포함된 고객정보 유출 사고를 시작으로, KT의 펨토셀 해킹 사건, 롯데카드의 고객정보 유출 사고까지, 국내 주요 기업들은 단 한순간도 보안 이슈에서 자유롭지 못한 시간을 지나왔다. 그리고 이러한 일련의 사건들은 결국 쿠팡의 개인정보 유출 사고로 그 정점을 찍었다.

이번 칼럼에서는 가장 최근에 발생한 개인정보 침해사고 중 하나인 쿠팡의 사례를 중심으로, 그 알려진 사실과 기술적 배경을 차분히 되짚어보고자 한다. 단순한 사고 나열에 그치지 않고, 이번 사건이 드러낸 구조적 취약점은 무엇인지, 그리고 앞으로 유사한 위협에 대응하기 위해 기업과 보안 담당자가 어떤 준비를 갖추어야 하는지를 중심으로 살펴본다. 특히 OAuth 기반 인증 환경에서 발생한 이번 개인정보 침해사고는, 안전한 기업용 키 관리(KMS, Key Management System)가 정보 보호의 핵심 요소임을 다시 한번 보여주었다.

쿠팡 개인정보 침해사고 개요와 특징

쿠팡 개인정보 침해 사고는 2025년 6월부터 11월까지 가입자 약 3,370만 명 고객의 이름, 전화번호, 주소, 이메일 등 개인정보가 유출된 사건이다. 비밀번호나 결제 정보는 유출되지 않았다고 알려져 있지만, 유출된 정보로 인한 2차 피해(사기 전화/문자) 우려가 커 지고 있으며, 정확한 피해 사실은 현재 진행 중인 경찰의 수사가 진전되어야 알 수 있을 것으로 보인다.

이번 사건은 외부 공격이 아닌 퇴사한 전 직원이 유출한 정보에 의해 공격이 이루어진 점, 5개월 간 지속적으로 이루어 진 데이터 탈취를 파악하지 못한 점, 사고 파악 이후 신고 과정, 고객 대응 문제 등 여러 측면에서 이전의 개인정보 침해 사고와는 결이 다른 여러 문제점이 지적되고 있다.

지금부터는 12월 2일 국회 과학기술정보방송통신위원회(과방위)에서 진행한 쿠팡 개인정보 침해사고 긴급 현안 질의를 통해, 쿠팡의 CISO가 밝힌 내용을 바탕으로 이번 사고가 기술적·관리적 측면에서 어떠한 문제점을 드러냈는지를 짚어본다.

쿠팡은 최근에 구축되는 대부분의 온라인 서비스와 마찬가지로, 사용자 인증과 권한 관리를 위해 OAuth 표준 기반의 인증·인가 절차를 구현한 것으로 파악된다. 이는 서비스 제공자가 사용자 비밀번호를 직접 취급하지 않으면서도, 외부 애플리케이션이나 내부 컴포넌트에 제한된 접근 권한을 안전하게 위임하기 위한 일반적인 설계 방식이다.

OAuth(Open Authorization)는 클라이언트가 서버가 보유한 리소스에 접근할 수 있도록 권한을 위임하기 위해 제정된, IETF가 표준화한 개방형 인가 프로토콜이다. 이 구조에서는 사용자가 자신의 비밀번호를 클라이언트에 직접 제공하지 않아도, 인가 서버가 발급한 액세스 토큰(Access Token)을 통해 서버의 보호된 리소스에 접근할 수 있다. 이러한 방식은 대규모 서비스 환경에서 보안성과 확장성을 동시에 확보하기 위한 인증 메커니즘으로 활용되고 있다.

일반적인 OAuth 인증 절차

OAuth 절차는 하나의 인증 흐름 안에서, 인가 서버와 API 서버가 수행하는 역할에 따라 크게 두 부분으로 구분할 수 있다.

[그림 1] 일반적인 OAuth 과정

1. 인가 서버가 클라이언트로부터 ID와 비밀번호를 제출받아서 사용자 인증을 처리한 후, 액세스 토큰을 발행하는 절차 ([그림 1]의 ①~⑤)

- 인가 서버는 ID와 비밀번호로 사용자 인증을 처리한 후, 사용자 신원 정보 노출을 차단하기 위해 ID와 연결된 별도의 고유ID(Unique ID)를 토큰에 삽입한다.

- 대부분의 경우, 인가 서버는 발행하는 토큰에 서명키를 이용해서 전자서명을 추가한다.

2. API 서버 (리소스 서버)가 클라이언트가 제출한 액세스 토큰을 검증하고, 서비스 (서버 자원)을 제공하는 절차 ([그림 1]의 ⑥~⑩)

- API 서버는 사용자가 제출한 토큰의 서명 검증을 통해 정당한 사용자 여부를 판단하고, 토큰에서 고유ID(Unique ID)를 획득해서 인증된 사용자를 찾아서 서비스를 제공한다.

- 이 과정에서 API 서버는 사용자 계정에 대한 비밀번호를 알 수 없다.

쿠팡의 개인정보 침해사고 발생 원인

그렇다면, OAuth 표준에 따라 구현된 쿠팡의 인증·인가 시스템은 어떤 문제로 인해 개인정보 유출로 이어졌을까? 아직 수사 단계라 확정적인 사실은 아니나, 12월 2일 현안 질의를 통해 확인된 쿠팡의 개인정보 침해사고는 크게 두 가지 문제점으로 인해 발생한 것으로 보인다.

1. 퇴사한 개발자가 인가 서버의 토큰 발행을 위한 서명키를 탈취해서 인가 서버가 만드는 것과 동일한 토큰을 만들 수 있었다.

- 사용자 인증에 사용되는 중요한 서명키가 개발자가 직접 접근할 수 있는 위치에 노출되어 있었다.

- ISMS-P 인증을 획득한 기업임에도 정보의 반출입 과정에 대한 통제가 부실했다.

2. 사용자의 고유ID가 유추 가능하다는 점을 악용해 대량의 토큰을 생성할 수 있었다.

- 쿠팡 CISO의 설명에 따르면, 2024년까지는 가입자의 고유ID가 일정하게 증가하는 정수형 ID였다고 한다.

- 때문에, 이러한 메커니즘을 잘 알고 있던 공격자는 가입자 전체의 ID 목록 없이도 고유 ID를 유추할 수 있었다.

[그림 2] 쿠팡 개인정보 침해사고 개요

위 그림과 같은 구조에서 공격자가 토큰 서명에 사용되는 키를 탈취하고, 동시에 사용자 고유 식별자(ID)를 유추할 수 있는 조건이 충족된다면, 더 이상 인가 서버를 경유할 필요 없이 대량의 위조 토큰을 생성하는 것이 가능해진다. 이는 인가 서버의 통제 영역을 우회하여, 공격자가 임의로 유효한 형식의 액세스 토큰을 발급하는 것과 동일한 효과를 갖는다.

그 결과, 정상적인 사용자 인증 절차를 거치지 않았음에도 불구하고 API 서버는 해당 요청을 신뢰된 사용자 요청으로 오인하게 되며, 공격자는 다수의 사용자를 가장하여 보호된 API에 접근할 수 있는 심각한 보안 위협 상황이 발생한다. 이러한 유형의 공격은 토큰 기반 인증 구조의 신뢰가 서명 키 보호에 전적으로 의존한다는 점을 여실히 보여주는 사례라 할 수 있다.

키 관리(KMS)를 통한 안전한 인증 절차 구현 방안

이번 사고는 앞서 짚은 두 가지 주요 문제점 가운데 단 하나만 제거했더라도 충분히 예방할 수 있었던 사고였다. 이는 인증·인가 구조 자체의 문제가 아니라, 핵심 보안 자산에 대한 관리 실패가 얼마나 치명적인 결과로 이어질 수 있는지를 보여준다. 그중에서도 서명 키 유출 문제는 단순한 기술적 취약점을 넘어, 시스템 운영 방식과 내부 통제·관리 절차 전반의 한계를 동시에 드러낸 사례로 볼 수 있다.

일반적으로 시스템 운영 과정에서는 정보 보호를 위해 암호 키, 서명 키 등 다양한 형태의 보안 키가 사용된다. 그러나 지금까지 이러한 키들은 기업 내 여러 시스템에 분산된 형태로, 각기 다른 방식으로 관리되어 온 경우가 많았다. 시스템 규모가 확대되고 용도별 키의 수가 증가할수록, 이러한 전통적인 키 관리 방식은 관리 효율을 저하시킬 뿐만 아니라, 키 노출이나 오·남용과 같은 보안 사고의 가능성을 구조적으로 키우게 된다.

이러한 한계를 극복하기 위해 최근에는 각 시스템에 흩어져 있던 키를 중앙에서 통합 관리하는 키 관리 시스템(KMS)을 도입하고, 키의 생성부터 사용, 갱신, 폐기에 이르는 전 생명주기와 접근 통제를 일원화하는 방식이 확산되고 있다. 이는 운영 복잡도를 낮추는 동시에, 키 유출로 인한 대규모 보안 사고를 예방하기 위한 필수적인 보안 통제 체계로 자리 잡고 있다.

[그림 3] 안전한 키 관리 방안

위 그림과 같은 구조에서는 인가 서버에서 사용하는 서명 키를 키 관리 시스템(KMS)으로 이관하고, 액세스 토큰의 서명 연산을 KMS 내부에서 처리함으로써 서명 키의 외부 노출 가능성을 구조적으로 차단할 수 있다. 이와 같은 구조에서는 인가 서버가 서명 키를 직접 보유하거나 접근하지 않기 때문에, 서버 침해나 내부 계정 탈취와 같은 사고가 발생하더라도 서명 키 유출로 이어질 가능성을 근본적으로 줄일 수 있다.

키 관리 시스템은 사전에 정의된 정책에 따라 키 사용 요청에 대한 인증·인가 절차를 수행한 후, 전자서명이나 암호화와 같은 보안 연산을 제공한다. KMS에 저장된 다양한 암호 키들은 마스터 키로 암호화되어 보호되며, 보다 높은 수준의 보안이 요구되는 환경에서는 HSM(Hardware Security Module)을 적용해 마스터 키 자체를 물리적으로 보호하는 것도 가능하다. 이를 통해 키의 생성부터 사용, 갱신, 폐기에 이르는 전 생명주기를 안전하게 관리할 수 있다.

한편, 드림시큐리티의 키 관리 시스템 'Magic KMS'는 한국형 암호모듈 검증 프로그램(KCMVP) 인증을 받은 강력한 암호 모듈을 기반으로, 기업 환경에 요구되는 안전한 키 관리 기능을 제공한다. Magic KMS는 이미 공공, 금융, 의료 등 다양한 분야에 적용되어 안정성과 실효성을 검증받고 있으며, 대규모 서비스 환경에서의 키 보호 요구에 효과적으로 대응하고 있다.

끊이지 않는 정보 유출 사고를 근절하기 위해서는 기업과 구성원 개개인의 보안 인식 제고와 더불어, 정부와 기업의 지속적이고 적극적인 정보 보호 투자, 그리고 이를 뒷받침하는 법·제도적 강화가 반드시 병행되어야 한다. 사회 전반의 정보 보호에 대한 인식 개선과 기업의 보안 인프라 고도화를 통해, 다가오는 새해에는 더 이상 대규모 개인정보 침해 사고 소식이 반복되지 않기를 기대해 본다.