쿠팡은 이 장치가 필요하다는 사실을 몰랐을까. > Q&A

본문

<a href="https://sexlawyerguide.co.kr/" target="_blank" class="seo-link good-link" rel="noopener">오산개인회생</a> 럴 가능성은 낮다. 쿠팡은 개인정보를 AWS 클라우드가 제공하는 ‘HashiCorp Vault’라는 보안 시스템으로 관리했다고 밝혔다. 나도 AWS 클라우드를 쓴다. AWS 클라우드 사용 가이드라인엔 HSM이나 KMS를 연동해서 사용하라는 권고 사항이 있다. 굳이 글로벌 스탠더드를 언급할 필요도 없다. AWS 가이드라인을 숙지했다면 해당 장치가 필요하다는 사실을 알고 있었을 것이다.”

쿠팡이 개인정보 보안이 취약하다는 것을 알고도 방치했다는 이야기인가.

“이는 조사해 봐야 알 수 있는 사안이다. 다만 쿠팡이 개인정보 보안 취약점을 알고 있었다는 증거는 조금씩 나오고 있다. 대표적인 예가 경영 컨설팅 기업 ‘액센추어’의 쿠팡 해킹 대응 방어 훈련 보고서다.”

쿠팡은 2025년 3월 사이버 보안 사고 발생 시 대응 능력을 점검하기 위해 액센추어에 의뢰해 모의훈련을 실시했고, 2025년 12월 모의훈련 결과 보고서를 국회에 제출했다.

김 교수는 “모의훈련 결과 보고서를 보면 (보안) 위기관리 절차가 문서화돼 있지 않고 구성원 개인의 역량에 의존한다는 내용이 있다”며 “이를 지금 쿠팡 개인정보 유출 사건에 대입해 이해해 보자면 구성원이 정보를 들고 나갔다면 이를 막을 위기관리 절차가 없다는 의미”라고 설명했다.

보고서 한 장으로 쿠팡이 개인정보 보안을 게을리했다고 볼 수 있을까.

“그래서 민관합동조사단은 쿠팡에 최근 3년간의 모의 해킹 훈련 보고서를 달라고 요청했다. 최근 쿠팡이 이 보고서를 조금씩 민관합동조사단에 보내고 있다. 나도 이 보고서를 받아봤는데 모의 해킹 훈련 보고서라 보기 힘든 수준이었다.”.