"SKT도, KT도 이런 사례는 없다"⋯김승주 교수가 꼬집은 '쿠팡의 행태'

[아이뉴스24 안세준 기자] 국내 최고 보안 권위자로 평가받는 김승주 고려대학교 정보보호대학원 교수는 6일 "SK텔레콤과 KT, LG유플러스 그 누구도 민관합동조사단의 허락을 구하지 않고 분석 결과를 자체 발표한 사례가 없다"며 쿠팡의 자체 포렌식 분석에 대한 신뢰성 문제를 제기했다. CCTV를 통한 직원 감시 등 행위 또한 현행법을 오·남용했다는 지적이다.

김 교수는 이날 서울 여의도 국회의원회관에서 열린 '쿠팡 해킹 및 개인정보 침탈 사고에 대한 국회 좌담회'에서 쿠팡 셀프조사에 대한 신뢰성 부족 문제, 개인정보보호법의 오·남용 문제 등 쿠팡의 개인정보 유출 사고 전후 문제점을 거론하며 이같이 밝혔다. 김 교수는 '쿠팡 사태로 본 개인정보보호법의 오해와 남용'을 주제로 발제에 참여했다.

조사기관 배석 없이 이미징 행위⋯쿠팡 셀프조사, 세 가지 문제점

김 교수는 쿠팡의 셀프조사 행위에 대해 세 가지 문제를 거론했다. 이미징 과정(Chain of Custody)의 무결성 문제, 포렌식 분석 결과 자체의 신뢰성 문제, 용의자 자백 중심의 조사 문제 등이다. 쿠팡은 용의자로 추정되는 전 중국인 직원을 만나 자백을 받은 뒤 이에 기반한 조사 결과를 자체적으로 발표한 바 있다.

그는 이미징 과정 무결성 문제에 대해 "디지털 정보가 훼손되기 때문에 원본이 아닌 이미징을 뜨게 된다. 문제는 이 과정에서 자기가 불리한 정보를 빼놓고 복사할 수 있다는 것"이라며 "그렇기에 항상 조사 기관이 배석하도록 돼 있는데 쿠팡은 그렇지 않았다"고 지적했다. 앞서 쿠팡은 용의자로부터 장비를 회수한 뒤 글로벌 3개 보안업체에 포렌식 조사를 맡겼다.

쿠팡의 포렌식 분석 결과에 대한 신뢰성 문제에 대해서는 "쿠팡은 SK텔레콤이나 KT, LG유플러스와는 달리 합동조사단 허락 없이 먼저 발표를 해버렸다. 마치 포렌식 결과를 (정부 또는 국회에) 준 것 같이 쿠팡은 얘기하지만, 정확히는 포렌식 결과를 쿠팡이 요약한 파워포인트 자료를 건넨 것"이라고 설명했다.

용의자 자백 중심의 조사 또한 문제소지가 있다고 했다. 그는 "민관합동조사단은 기본적으로 전수조사가 원칙이다. 이 과정에서 쿠팡도 모르고 있던 다른 해킹 사례들이 발견될 수도 있는데 쿠팡은 용의자 자백 중심으로 결과를 발표했다"며 "용의자는 자신이 유리한 것만 얘기할 수도 있다"고 우려했다.

"CCTV로 직원 감시?"⋯쿠팡의 개인정보보호법 오·남용 행위

이날 김 교수는 쿠팡의 개인정보보호법 오·남용 문제도 꼬집었다. 쿠팡의 개인정보 유출 범위 축소 행위와 개인정보의 목적 외 이용, 개인정보보호법 남용 등이 여기에 해당한다.

국내 개인정보보호법은 개인 수집된 정보를 목적 외로 이용하는 것을 철저히 금지하고 있다. 예컨대 작업실에 있는 CCTV는 도난 방지 등이 목적이다. 근로자의 일거수일투족을 추적하는 데 사용되어선 안 된다는 의미다.

하지만 쿠팡은 목적 외로 사용했다는 게 김 교수의 지적이다. 그는 "쿠팡에서 배달 또는 물건 분류 일을 하다가 불의의 사고를 겪게 된 분들이 많다. 쿠팡은 이 분들의 소송과 관련해 법조 논리를 만들기 위해 CCTV 영상을 분석했다"며 "이 행위는 개인정보의 목적 외 이용 문제와 부딪히게 된다"고 언급했다.

김 교수에 따르면, 노조가 사고를 겪은 직원의 장례식장 위치를 묻자 쿠팡은 "개인정보이기 때문에 위치를 알려줄 수 없다"는 취지로 답했다. 이에 대해 김 교수는 "개인정보보호법상 개인 정보는 살아 있는 사람에 대한 정보"라며 "사망자에게는 법이 통용되지 않는다. 대표적인 법 남용 문제"라고 비판했다.

김 교수 "망 분리 필요⋯내부 시스템-인터넷망 단절시켜야"

김 교수는 쿠팡과 같은 사고를 예방하고 국내 정보보호 수준을 한 단계 높이기 위해선 철저한 망 분리와 내부자 통제, 거버넌스 체계 개편 등이 필요하다고 주장했다.

그는 망 분리 필요성에 대해 "내부 시스템을 인터넷망과 단절시키는 게 중요한데 SK텔레콤부터 쿠팡까지 모두 망 분리는 제대로 못한 것 같다"고 했다. 내부자 통제에 대해서는 "SK텔레콤·KT·온나라 시스템 등은 외부에서 들어오는 해커를 못 막은 것이지만 쿠팡은 내부자 통제를 실패한 것"이라며 중요성을 강조했다.

김 교수가 특히 강조한 건 거버넌스 체계 개편이다. 그는 "온나라 시스템은 정부 시스템임에도 불구하고 (국가 배후로 추정되는 공격을) 국가정보원은 못 막았다. 기술력이 떨어지거나 인력이 부족하다는 얘기"라며 "선택과 집중이 필요하다. 국가정보원은 국가 안보 영역으로, 과학기술정보통신부는 민간 영역에 머무를 게 아니라 오픈해도 되는 영역으로는 더 확대될 필요가 있다"고 제언했다.

좌담회에서는 쿠팡의 민관합동조사단 조사 결과 발표가 지연되는 데 대한 문제도 제기됐다. 김 교수는 토론자로 참여한 최우혁 과기정통부 네트워크정책실장을 향해 "SK텔레콤 등은 1차, 2차 중간 결과를 발표했다. 반면 쿠팡은 중간 발표가 없어 국민들도 아무 것도 안 하는 것 아니냐는 의구심이 들고 있다"며 중간 발표 계획 여부를 물었다.

좌담회를 주최한 국회 과학기술정보방송통신위원회 야당 간사인 최형두 국민의힘 의원도 "정부가 3개월이 지나도록 아무런 발표가 없다. 국민들이 답답하지 않겠느냐"며 "쿠팡 유출 사고가 엉뚱하게 한미 통상 문제로 비화되고 있다. 인력이나 규모가 부족한지 요청한다면 국회가 도와주겠다. (결과 발표 없이) 기다려 달라고 하니 외교적 문제로 비화되고 있는 것"이라고 했다.

최우혁 실장은 "SK텔레콤과 KT 같은 경우 피해자와 연계된 부분이 있는 만큼 중간 조사를 발표했다"며 "쿠팡 또한 확인되는 부분이 있을 경우 (중간 발표 진행을) 검토하도록 하겠다"고 답했다.