“하드웨어 보안 모듈(HSM)은 어디에 있었나”…쿠팡 사태, 7가지 의문 제기

국민 3300만 명이 피해를 본 쿠팡 대규모 정보 유출 사태와 관련해, 김승주 고려대 정보보호대학원 교수가 “이번 사고는 단순 개발자 일탈이 아니라 구조적 보안 실패가 의심되는 사건”이라며 핵심 의문점을 제기했다.

김승주 교수는①HSM을 사용했다면 키 탈취가 어떻게 가능했는가(키 추출이 원천적으로 불가능해야 하는데, 기술적으로 설명되지 않는 구조적 허점이 존재한다는 의미)②수개월 간 토큰 위조·무단 접속이 지속됐는데 왜 탐지되지 않았는가(정상적인 시스템이라면 내부 통제 장치가 즉시 반응해야 함)③퇴사 시 전자서명키를 즉시 리셋하지 않은 이유는 무엇인가(기본적인 퇴직자 보안 관리가 이뤄지지 않은 것 아니냐는 지적)④HSM을 사용했다면 도입 단계에서 취약점 검증을 왜 하지 않았는가 등에 의문을 제기했다.

또 ⑤전자서명키 접근 권한이 왜 분산되어 있지 않았는가(권한 집중 구조라면 시스템 위험이 극도로 커지는 상황)⑥휴면·탈퇴 계정까지 무단 접속됐는데도 탐지가 되지 않은 이유는(FDS(이상거래탐지시스템)가 정상적으로 작동했는지 논란)⑦피해 규모가 의심될 상황에서도 왜 소극적 공지만 했는가(내부 통제가 부실한 점이 분명한데 최악의 상황을 가정한 고객 안내가 없었다는 지적)등이 앞으로 답해야 할 핵심 쟁점이라고 적었다.