3,370만 명의 정보가 빠져나가는 동안, 왜 경보가 울리지 않았나?
쿠팡 사태의 가장 큰 의문점은 어떻게 3,370만 명이라는 방대한 데이터가 유출되는 5개월(약 147일) 동안 국내 최고 수준의 IT 기업이라 자부하는 쿠팡의 보안 관제 시스템이 이를 전혀 감지하지 못했는가입니다.
보통 해킹 사고라 하면 시스템을 마비시키거나 한꺼번에 데이터를 탈취하는 공격을 떠올리기 쉽습니다. 하지만 보안 전문가들은 이번 사건이 철저히 계산된 지능형 지속 위협의 형태를 띠고 있으며, 그 중심에는 보안 시스템의 감시망을 무력화한 로 앤드 슬로(Low and Slow) 기법이 있었다고 분석합니다.
Low and Slow 공격이란?
Low and Slow는 말 그대로 ‘아주 천천히, 그리고 낮게’ 움직여 탐지 임계치(Threshold)를 넘지 않도록 하는 해킹 기법입니다.
- 기존 공격: 짧은 시간에 대량의 접속을 시도하거나 데이터를 빼내는 방식으로, 보안 시스템의 경보 기준을 쉽게 건드려 발각될 위험이 큽니다.
- Low and Slow: 보안 전문가들은 범인이 보안관제 시스템의 임계치를 넘지 않도록 아주 천천히 조금씩 데이터를 긁어모아 감시망을 피한 것으로 보고 있습니다.
이번 쿠팡 사태의 범인은 6월 24일부터 11월까지 약 147일간 이 방식을 사용하여, 쿠팡의 보안망이 이를 공격으로 인지하지 못하게 만든 것으로 추정됩니다.
쿠팡의 방어막을 무력화한 3가지 핵심 요인
언론 보도와 보안 전문가들의 분석을 종합하면, 범인은 다음 3가지 요소를 결합하여 완벽한 투명 망토를 둘렀습니다.
정상 열쇠를 가진 내부자 (Access Token)
가장 결정적인 원인은 범인이 정상적인 접근 권한을 가지고 있었다는 점입니다. 유출 주범인 전 직원은 재직 시절 인증 업무를 담당하며 확보한 액세스 토큰 서명키(시스템 접근 열쇠)를 퇴사 후에도 보유하고 있었습니다. 퇴사자의 권한을 즉시 말소해야 한다는 기본 원칙이 지켜지지 않아, 범인은 해킹이 아닌 정상적인 열쇠를 이용해 시스템에 접근할 수 있었습니다.
IP 세탁과 위장 (Proxy Server)
단순히 열쇠만 있다고 해서 3,370만 건을 조회하면 의심을 받습니다. 이를 피하기 위해 범인은 프록시 서버(Proxy Server)를 악용했습니다. 이경호 고려대 정보보호대학원 교수는 범인이 “해외에서 인터넷 프로토콜(IP) 대역을 계속 바꿔가며 불특정 다수 고객처럼 위장한 것”이라고 설명했습니다. 이렇게 IP를 계속 변조할 경우, 시스템은 이를 ‘한 명의 해커’가 아니라 수많은 일반 고객들이 각자 자신의 정보를 조회하는 것으로 오인하게 됩니다.
관련 뉴스 https://n.news.naver.com/mnews/article/021/0002753928?sid=105
임계치 기반 탐지의 한계
결국 쿠팡의 보안 관제 시스템은 전형적인 임계치 기반 탐지 수준에 머물러 있었던 것으로 보입니다. 이경호 교수는 “3,370만 건의 정보가 한꺼번에 유출될 경우 인지할 수 있지만, IP 대역을 변조할 경우 관제 시스템에 포착되지 않는다”고 지적했습니다. 이는 과거 2012년 KT 해킹 때도 사용된 수법임에도, 업계 1위인 쿠팡이 여전히 허술한 체계를 고수하고 있었다는 비판을 피하기 어렵습니다.
결론: 보안 극장을 넘어 행위 분석으로
이번 사건은 ISMS-P(정보보호 관리체계) 인증을 받은 기업이라도, 서류상의 보안과 실전 보안은 다르다는 것을 여실히 보여줍니다. 이원태 전 KISA 원장은 이를 두고 “실질적 방어력보다는 문서와 절차를 맞추는 보안 극장(Security Theater)에 불과함”을 보여준다고 꼬집었습니다.
관련뉴스 https://n.news.naver.com/mnews/article/092/0002400586?sid=105
147일간의 침묵, 여기서 뭘 배워야 할까요? 단순히 보안 장비를 늘리는 것이 아니라, 조직적 관리 체계를 정비하고, 문서 중심의 인증 체계를 실시간 행위 기반 모니터링 중심으로 전환해야 한다는 전문가들의 제언을 새겨들어야 할 때입니다.
행위 기반 실시간 모니터링 시스템
단순히 누가 들어왔는지(접근 권한)만 확인하는 것이 아니라, 들어와서 무엇을 하는지(행동 패턴)를 실시간으로 분석하여 이상 징후를 탐지하는 차세대 보안 기술입니다.
전문 용어로는 UEBA(User and Entity Behavior Analytics, 사용자 및 개체 행위 분석)라고도 불립니다. 이번 쿠팡 사태와 같은 지능형 공격을 막기 위한 핵심 대안으로 거론됩니다.
기존 시스템 vs 행위 기반 시스템 차이점
- 기존 시스템 (규칙/임계치 기반):
- 원리: “1분에 1000번 접속하면 차단”, “해외 IP 접속 시 차단” 처럼 정해진 규칙(Rule)이나 한계치(Threshold)를 넘어야만 경보가 울립니다.
- 쿠팡 사태에서의 한계: 이번 범인은 Low and Slow(천천히 조금씩) 방식을 썼을거라고 추정됩니다. 즉, 1분에 1000번이 아니라 하루에 10번씩 접속했기 때문에 기존 시스템의 경보(한계치)를 건드리지 않고 5개월간 활동할 수 있었습니다.
- 행위 기반 시스템 (AI/머신러닝 기반):
- 원리: AI가 평소 정상적인 사용자의 패턴을 학습해 평소와 다른 행동을 잡아냅니다.
- 예시: “이 직원은 평소 서울에서 9~6시에 근무하고, 하루에 고객 정보 10건만 조회하는데, 갑자기 새벽 3시에 유럽 IP로 접속해서 하루 50건씩 조회하네?” → 이상 징후(Anomaly)로 판단하여 즉시 차단.
쿠팡 사태에 적용했다면?
만약 쿠팡이 이 시스템을 제대로 갖추고 있었다면, 이번 사고를 조기에 막을 수 있었던 이유는 다음과 같습니다.
- 퇴사자의 갑작스러운 활동 탐지:
- 해당 계정(퇴사자 A씨의 키)은 퇴사 후 오랫동안 사용되지 않았던 휴면 계정 성격이었을 것입니다. 행위 기반 시스템은 “오랫동안 잠잠하던 계정이 갑자기 활성화되어 데이터에 접근하는 행위” 자체를 고위험으로 간주하여 경보를 울립니다.
- 비정상적인 IP 변경 탐지 (Impossible Travel):
- 범인은 프록시 서버를 이용해 IP를 계속 바꿨습니다.
- 행위 기반 시스템은 “방금 미국 IP로 접속했는데 1분 뒤에 중국 IP로 접속했다”는 식의 물리적으로 불가능한 이동(Impossible Travel)이나, 평소 해당 직원이 접속하지 않던 국가에서의 접속 시도를 즉시 비정상 행위로 탐지합니다.
- 데이터 조회 패턴의 변화:
- 아무리 천천히(Low and Slow) 빼냈더라도, 일반적인 개발 업무 패턴과 데이터 수집 패턴은 다릅니다. AI는 단순 조회 업무와 달리 지속적으로 데이터를 긁어모으는(Scraping) 패턴을 인지하여, 트래픽 양이 적더라도 이를 이상 행위로 규정할 수 있습니다.
요약
결국 행위 기반 모니터링은 “출입증(ID/비번/키)이 진짜냐”를 검사하는 것을 넘어, “출입증을 찍고 들어온 사람이 도둑처럼 행동하지는 않느냐”를 감시하는 CCTV+AI 역할이라고 보시면 됩니다. 이번 쿠팡 사태처럼 정상적인 권한(서명키)을 탈취해 정상적인 사용자인 척 위장하는 공격을 막기 위해서는 반드시 필요한 시스템입니다.
[참여 안내] 쿠팡 개인정보 유출 공동소송 사전 의향서 접수
지금은 정식 소송인단 모집 전 단계로, 참여를 원하시는 분들의 수요를 파악하고 있습니다. 아래 링크를 통해 연락처를 남겨주시면, 정식 모집 시작 시 가장 먼저 알림을 드립니다.