연합뉴스쿠팡에서 발생한 사상 최대 규모의 개인정보 유출 사건에서 용의자가 보안 핵심 업무를 담당했던 직원이었던 것으로 드러났다. 퇴사 후에도 접근 권한이 유지된 보안 허점을 이용해 3000만명 이상의 정보를 빼낸 것으로 분석되면서 쿠팡의 내부 통제 시스템에 대한 의문이 제기되고 있다.
1일 최민희 국회 과학기술정보방송통신위원장과 정보통신기술(ICT) 업계에 따르면 쿠팡 전 직원은 재직 시절 인증 관련 핵심 업무를 맡았던 것으로 파악됐다. 이 직원은 회사를 떠난 뒤에도 유효했던 인증 시스템의 취약점을 노렸다는 분석이 나온다.
핵심은 '서명키' 관리의 허술함이다. 서명키는 사용자 로그인에 필요한 인증 토큰을 만드는 핵심 요소다. 최 의원실은 "출입증 발급 도장을 직원 퇴사 후에도 그대로 놔둔 것과 같다"며 "기본적인 보안 절차를 무시한 결과"라고 비판했다.
쿠팡이 의원실에 제출한 자료를 보면 업계에서 토큰 서명키 유효기간을 5~10년으로 설정하는 경우가 많다고 설명했다. 로그인마다 새로 생성되는 인증 토큰과 달리 서명키는 장기간 유지되는데, 담당자 퇴사 시점에도 이를 교체하지 않아 보안 공백이 발생했다는 게 의원실의 판단이다.
최 의원실은 "직원이 떠날 때 관련 권한을 회수하는 것은 보안의 기초"라며 "개인의 일탈로 치부할 게 아니라 쿠팡의 시스템적 결함으로 봐야 한다"고 강조했다.
서울경찰청 사이버수사대는 지난달 25일부터 쿠팡의 고소를 받아 수사 중이다. 경찰과 쿠팡 모두 용의자 신상을 공개하지 않았으나, 중국 국적의 전 직원이 비인가 방식으로 고객 정보에 접근했으며 이미 출국한 상황으로 전해졌다.
이번 유출로 확인된 계정은 약 3370만개로 쿠팡 전체 회원 수준이다. 이름, 이메일, 전화번호, 주소, 주문 내역 일부 등이 포함됐다.
