[이코노믹데일리] 단일 기업 기준 사상 최대 규모인 3300만건의 개인정보 유출 사고를 일으킨 쿠팡이 해커의 공격에 5개월 가까이 무방비로 노출됐던 것으로 정부 조사 결과 드러났다. 국회에서는 쿠팡이 사태 초기 개인정보 ‘유출’을 ‘노출’로 축소 표현해 책임을 회피하려 했다는 질타가 쏟아졌고, 박대준 쿠팡 대표는 이에 대해 공식 사과했다.
과학기술정보통신부와 국회 과학기술정보방송통신위원회(과방위)에 따르면 류제명 과기정통부 2차관은 2일 열린 국회 과방위 긴급 현안 질의에서 이번 사고의 기술적 원인과 경과를 보고했다. 과기정통부 분석 결과 해커의 공격이 식별된 기간은 지난 6월 24일부터 11월 8일까지로 약 5개월에 달했다.
류 차관은 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3천만 개 이상 계정에서 개인 정보가 유출됐다”며 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다”고 밝혔다.
특히 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 탈취되어 사용된 것으로 확인됐다. 이는 해커가 아이디나 비밀번호 없이도 마치 정상적인 시스템 권한을 가진 것처럼 서버를 드나들 수 있었다는 의미로 쿠팡의 보안 관리 체계에 치명적인 구멍이 뚫려 있었음을 시사한다.
이날 국회에서는 쿠팡의 부적절한 대응 태도에 대한 성토가 이어졌다. 특히 쿠팡이 사고 사실을 공지하면서 법적 용어인 ‘유출’ 대신 ‘노출’이라는 표현을 사용한 것이 도마 위에 올랐다. 정보보호 업계에서는 이를 두고 미국 증시에 상장된 모회사 쿠팡Inc가 직면할 수 있는 집단소송이나 징벌적 배상 리스크를 줄이기 위한 꼼수로 해석했다. ‘유출’은 통제권을 상실한 상태를, ‘노출’은 누구나 접근 가능한 상태를 의미해 법적 책임의 무게가 다를 수 있기 때문이다.
이훈기 더불어민주당 의원은 박대준 대표를 향해 “쿠팡이 사고 후 가입자들에게 보낸 문자에서 ‘유출’이 아니라 ‘노출’이라는 표현을 썼다”며 “이건 국민을 기만하는 것이다. 왜 이렇게 표현했느냐 과징금 등을 피하려 한 것이냐”고 강하게 질타했다.
이에 대해 증인으로 출석한 박대준 쿠팡 대표는 “어떤 책임을 모면하려는 의미는 아니었다”며 “의원님 지적처럼 다른 의도는 없었다”고 해명했다. 그러나 이 의원이 재차 추궁하자 박 대표는 “저희가 생각이 부족했던 것 같다”며 고개를 숙였다.
실질적 오너인 김범석 쿠팡Inc 의장의 책임론도 불거졌다. 김 의장은 한국 쿠팡 지분 100%를 보유한 모회사의 최대 주주이자 의결권 74.3%를 가진 실력자다. 그러나 이번 사태와 관련해 별다른 입장을 내놓지 않고 있다. 이 의원이 “김범석 의장이 직접 사과할 의향은 없느냐”고 묻자 박 대표는 “한국 법인에서 발생한 일이고 제 책임하에 있기 때문에 제가 다시 한번 사과 말씀 드린다”며 김 의장을 대신해 방어막을 쳤다.
이번 사건의 유력한 용의자로 거론되는 전직 중국인 직원에 대한 언급도 나왔다. 류 차관은 “현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요하다”면서도 “확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3천만 건의 개인정보 유출을 주장했다”고 전했다. 현재 경찰과 민관합동조사단은 내부자 공모 가능성까지 열어두고 수사를 진행 중이다.
당초 쿠팡은 지난달 4536개 계정에서 정보가 유출됐다고 당국에 신고했으나 정부의 조사 과정에서 피해 규모가 3379만개 계정으로 눈덩이처럼 불어났다. 과기정통부는 민관합동조사단을 통해 사고 원인을 정밀 분석하고 있으며 향후 유사 사례 방지를 위한 대책 마련에 착수했다.
댓글 더보기