[단독] 쿠팡 중국인 직원, 고작 2년 일하고 3370만건 털었다
쿠팡 대규모 개인정보 유출 혐의를 받는 중국 국적 쿠팡 전직 직원의 근무 기간이 2년에 불과했던 것으로 11일 파악됐다.
사건을 수사 중인 서울경찰청 및 사건 관계자 등에 따르면, 정보통신망 침입과 비밀누설 등 혐의를 받는 쿠팡 개인정보 유출 피의자는 중국 국적 개발자 A씨(43)로 확인됐다. A씨는 쿠팡 한국(서울)지사에 소속돼 근무했다. 그는 2022년 11월 입사해 보안 키(Key) 관리 시스템 관련 업무를 맡다가 지난해 말쯤 퇴사했다. 약 2년밖에 근무하지 않은 인물이 3370만 건에 달하는 고객 정보를 빼돌린 것이다.
업계 관계자는 “보안을 중시하는 요즘 기업 분위기상 입사한 지 얼마 되지도 않은 해외 국적 개발자에게 회원 개인정보에 접근할 가능성이 있는 중요한 보안 업무를 맡겼다면, 상식적으로는 잘 이해되지 않는 부분”이라며 “엄격한 보안 관련 교육이나 서약 등을 거쳐야 관련 업무를 맡을 수 있다는 점을 감안했을 때 체계가 허술했던 건 아닌지 의심할 수밖에 없다”고 지적했다.
유출 규모가 방대한 만큼 경찰은 서울 송파구 쿠팡 본사를 지난 9일부터 이날까지 내리 사흘째 압수수색 중이다. 이날 압수수색은 오전 9시40분쯤부터 시작됐다. 경찰은 A씨가 쿠팡 보안 시스템에 침입한 경위와 유출 경로를 규명할 자료를 집중적으로 확보하고 있다. 특히 경찰은 근무 기간동안 A씨가 키 관리 시스템과 관련하여 작성했던 문서들과 당시 작성한 업무 일지, 내부 시스템에 기록한 자료 등을 집중적으로 확보하려고 시도 중인 것으로 전해졌다. 또 쿠팡 보안시스템에 저장된 로그 기록과 IPㆍ사용자 정보 등을 포함한 접속 이력 등도 확보하고 있다.
경찰은 지난달 25일 쿠팡이 개인정보 유출 혐의와 관련해 고소장을 제출한 뒤 쿠팡 측이 임의 제출한 자료를 바탕으로 수사를 진행했지만, 9일부터 강제 수사 방식으로 자료 확보에 나섰다. 경찰은 압수수색에서 확보한 자료를 바탕으로 A씨의 범행 수법과 행적을 추적할 예정이다. 또한 향후 수사 과정에서 쿠팡 측의 과실이나 불법 행위가 드러날 경우, 현재는 피해자인 쿠팡 법인이나 쿠팡의 개인정보 취급·관리 담당 직원들 역시 수사 대상이 될 수도 있다.
한편 쿠팡은 지난달 29일 고객 계정 약 3770만 개가 외부로 유출됐다고 밝혔다. 현재까지 파악된 유출 정보는 이름, 이메일 주소, 배송지 주소록, 일부 주문정보 그리고 일부 공동현관 비밀번호 등이다.
이영근([email protected])