로그인 기록은 남았지만 침입 흔적 없어…기존 사이버 공격과 다른 양상
쿠팡에서 발생한 3,370만 명 규모의 개인정보 유출 사건과 관련해 수사 당국이 '국가 배후 공격 가능성'을 언급하면서, 해당 표현이 지칭하는 의미와 배경에 관심이 쏠리고 있다.
일반적인 기업 내부자의 일탈을 넘어서 국가 단위의 조직적 사이버 공격 가능성까지 제기된 것은 이례적인 일로, 수사의 방향과 성격이 크게 달라질 수 있는 요소다.
'국가 배후 공격(State-sponsored attack)'은 특정 국가 또는 국가 기관이 직간접적으로 연계된 조직이 벌이는 사이버 공격을 의미한다.
주요 기반시설, 정부 기관, 대기업 등을 표적으로 삼으며, 경제적 이익 또는 정치·외교적 목적을 위해 장기간에 걸쳐 치밀하게 준비된다. 이는 일반 범죄와 달리 국가 안보나 외교적 마찰로 이어질 수 있는 민감한 사안으로 분류된다.
이번 쿠팡 사건에서는 유출된 정보의 규모와 성격, 그리고 핵심 연루자가 중국 국적의 전직 직원으로 확인된 점이 이러한 가능성을 제기하게 된 배경으로 지목되고 있다. 특히 이 직원은 사건 발생 직후 한국을 떠나 중국으로 출국했으며, 현재까지 돌아오고 있지 않은 상태다.
기술적으로는 쿠팡의 시스템 내에서 악성코드나 외부 해킹 도구는 발견되지 않은 상태다. 이는 통상적인 사이버 공격과는 다른 양상으로, 쿠팡 내부 시스템에 정식 접근 권한을 가졌던 인물 또는 그 권한을 획득한 누군가가 내부 시스템을 통해 데이터를 유출했을 가능성을 뒷받침한다.
그러나 외형상 내부자의 단독 범행으로 보이더라도, 그 배후에 외국 정보기관이나 사이버 범죄 조직이 개입했을 가능성을 완전히 배제할 수 없다는 게 수사 당국의 판단이다.
정보보안 전문가들은 '국가 배후'라는 표현은 단순한 추측이 아닌, 기술적·행동적 정황이 일정 수준 이상일 때 수사선상에 오르는 개념이라고 설명한다.
한 보안 전문가는 "유출 범위, 대상, 접근 방식, 조직적 정교함, 출국 타이밍 등이 복합적으로 판단되면, 국가적 개입 가능성을 의심하게 된다"며 "중국, 러시아, 북한 등은 과거에도 이런 방식의 공격을 벌여온 전례가 있다"고 말했다.
실제로 과거에도 '국가 배후' 의심이 제기된 대형 사이버 사건은 다수 존재한다. 2014년 소니 픽처스 해킹 사건은 북한 연계 해커조직 '라자루스'가 개입한 것으로 추정됐고, 2015년과 2016년 미국 대선 당시 민주당 이메일 서버 해킹 사건은 러시아 정보기관과 연계된 것으로 미 정부가 발표한 바 있다.
국내에서도 주요 금융기관, 언론사, 공공기관을 대상으로 한 사이버 공격에 대해 수차례 '북한 소행 가능성'이 제기돼왔다.
쿠팡 사건의 경우 현재로서는 명확한 물증이나 공식 발표는 없는 상태지만, 조사 당국은 '국가 배후 가능성' 역시 수사의 한 축으로 삼고 관련 정황을 분석 중이다.
특히 출국한 전직 직원과 외국 기관 또는 조직 간의 연계 여부, 외부 자금 유입 여부, 유출된 정보의 활용 목적 등은 향후 수사에서 핵심적인 쟁점이 될 수 있다.
이와 같은 국가 배후 공격 가능성이 현실화될 경우, 사건은 단순한 개인정보보호 위반을 넘어 국가 간 외교 문제나 법률적 공조 요청 등 국제적 이슈로 확산될 수 있다.
따라서 수사 당국은 기술적 분석은 물론 외교·정보기관과의 협조를 통해 사건의 실체를 규명해 나갈 것으로 보인다.
현재까지 쿠팡은 유출 사실을 공식 인정하고, 관계 기관과의 조사에 협조하고 있으며, 피해 고객들에게는 안내 공지와 함께 보안 주의 메시지를 발송한 상태다. 사건의 전체 구조와 배후를 둘러싼 수사는 여전히 진행 중이며, 핵심 연루자가 국내에 없는 상황에서 국제 공조 수사나 인터폴 협력 요청도 논의될 수 있는 사안으로 거론되고 있다.
한편 박대준 쿠팡 대표는 30일 오후 정부서울청사에서 사과의 뜻을 밝혔다.
박 대표는 "이번 사태로 인해 피해를 보신 쿠팡 고객들과 국민들에게 심려를 끼쳐드려 너무 죄송한 말씀과 사과의 말씀을 드린다"며 고개를 숙였다.
그러면서 이번 사태가 빠르게 진정될 수 있도록 노력하겠다는 뜻도 전달했다.
박 대표는 '5개월간 정보 유출을 인지 못 한 이유'를 묻는 말에 "기술적으로 설명해야 하고 조금 긴 설명이 될 것 같다"며 "현재 수사가 진행 중이라 상세히 말씀드리긴 어렵다"고 답했다.
이어 "저희가 (개인정보 유출을) 인지하고 스스로 자진신고를 했다"며 "그 다음 피해자들에게 개별 통지도 했다"고 전했다.
일각에서 제기된 '중국 국적 직원의 개인정보 유출' 의혹과 관련해서는 "수사 영역이고 수사에 적극 협조 중"이라며 "그 얘기를 하는 것 자체가 수사에 영향을 주는 만큼 말씀드리기 어렵다"고 말했다.
피해 보상에 관한 질문에는 "피해자와 피해 범위, 유출 내용을 명확히 확정하는 게 우선"이라며 "그다음 급한 것은 재발 방지 대책이다. 이런 부분이 확정되면 그다음 피해에 대해 합리적 방안을 성실히 수행할 수 있을 것"이라고 대답했다.
그러면서 "내부 조사 결과를 정부 기관에 투명하게 제공하고 협력하고 있다"며 "저희 혼자 단정 짓기에는 이 사안이 너무 크고 강제력이나 공권력도 필요하다. 같이 조사하고 협력해 결론을 내는 게 최선"이라고 부연했다.
