2일 열린 국회 과학기술정보방송통신위원회의 쿠팡 정보 유출 사태 긴급 현안질의에서는 지난 6월부터 고객 3370만 명의 개인정보를 유출한 중국 국적의 쿠팡 전 직원이 지난해 12월 이미 퇴사한 것으로 확인됐다. 퇴사 전 훔친 비밀번호(서명키)를 활용해 가짜 출입증(토큰)을 반복 생성하며 쿠팡 시스템에 접속하는 방식으로 고객 정보에 접근했다. 국회에선 “김범석 의장을 체포해야 한다”(김우영 더불어민주당 의원)는 강경한 목소리도 나왔다.
이날 과방위에선 쿠팡의 허술한 퇴사자 관리에 대한 질타가 쏟아졌다. 정보 유출자에 대해 박대준 쿠팡 대표는 “인증 시스템을 개발하는 개발자다. 지난해 12월 퇴사했다”고 말했다. 퇴사자가 쿠팡 시스템에 장기간 접속한 과정에 대해 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 “쿠팡의 인증 토큰은 개인적인 서명키가 필요하다. 정보 유출자는 회사를 떠나기 전 쿠팡 내부의 서명키를 탈취한 것으로 보인다”며 “이를 활용해 가짜 토큰을 만든 것”이라고 설명했다. 훔친 비밀번호(서명키)를 활용해 현직에 있는 다른 직원인 척 출입증(토큰)을 만들고 시스템에 로그인했다는 의미다.
5개월간 이를 몰랐던 데 대해 매티스 CISO는 “다른 소스에서 다른 IP(네트워크상 기기 고유번호) 주소 여러 개를 사용한 것으로 보인다. 관제 시스템 임계치 밑으로 기록돼 알지 못했다”고 말했다. 출입증을 여러 개 만들어 조금씩 정보를 가져가는 수법을 써서 쿠팡의 감시망을 피했다는 해명이다.
이날 현안 질의에선 쿠팡에 최대 1조원대 과징금이 부과될 가능성이 제기됐다. 개인정보보호법에 따르면 개인정보 도난·유출 시 전체 매출의 최대 3%를 과징금으로 부과할 수 있는데, 지난해 쿠팡 매출(41조2901억원)로 과징금은 최대 1조2300억원에 이른다. 이정렬 개인정보보호위원회 부위원장은 “매출 규모 확정뿐 아니라 위반 행위 중대성을 위원회에서 판단해 종합적으로 결정하겠다”고 말했다. 이날 금융감독원은 쿠팡 개인정보 대규모 유출 사태와 관련해 자회사인 쿠팡페이에 대한 현장조사에 들어간다고 밝혔다. 금감원은 결제 정보 유출 여부를 직접 확인하고 정보 관리 실태도 살핀다는 계획이다.
강기헌.김경미.김선미([email protected])