[단독] "쿠팡 중국인 피의자, 20년 경력…개발자 위 개발자"
쿠팡 대규모 개인정보 유출 사건을 수사 중인 경찰이 쿠팡의 ‘보안 금고’ 격인 키 관리시스템 내역을 확보한 것으로 14일 파악됐다. 경찰은 또한 “개발자 위의 개발자”로 불리는 직급으로 쿠팡과 해외 유수 기업에서 근무한 중국 국적 피의자가 정보를 유출한 의도와 경위를 파악하고 있다. 민관합동조사단 역시 이번 사태와 관련해 쿠팡이 적절한 보안 조치를 취했는지 들여다보고 있다.
서울경찰청 사이버수사과와 IT 업계에 따르면, 경찰은 인증 시스템 개발 업무를 맡은 중국인 피의자 A(43)와 쿠팡 직원이 지난해 4월 11일부터 지난달 8일까지 키 관리시스템 ‘하시코프 볼트(Hashicorp Vault·이하 볼트)’에 접근한 내역과 계정 사용·반출·폐기·관리 이력 등을 압수수색했다. 볼트는 비밀번호·API 키 등 민감한 정보를 안전하게 보관하고, 필요할 때만 빌려 쓰게 하는 일종의 금고(Vault)와 같은 보안 소프트웨어다. 민감한 정보를 중앙·암호화하고 접근 권한이 있는 사람에게만 임시 인증 키를 발급하는 기능을 제공한다.
전문가들은 경찰이 이번 볼트 사용 내역 입수를 통해 사고의 책임 구조와 쿠팡의 보안 관리 실태를 폭넓게 들여다볼 수 있게 됐다고 말한다. 볼트에는 감사 로그(Audit Log)가 남아 보안사고를 추적할 수 있기 때문이다. 이에 따라 지난해 말 A가 퇴사하면서 만료됐어야 할 권한이 계속 살아 있었는지, 권한 회수는 제대로 됐는지 등 쟁점이 수사로 규명될 수 있다.
━
경찰, 쿠팡 본사 5일째 압수수색
경찰은 유출 동기 등을 파악하기 위해 A의 인사 및 성적·징계 등 근무평정 자료와 그가 쿠팡 서울 지사에서 근무할 당시 사용한 PC·노트북·USB 등도 압수수색했다. 또한 2022년 11월부터 2025년 1월까지 쿠팡의 내부 조직도와 IT 관련 부서의 직원 명단·직급·직책·담당 업무·국적·전화번호 등도 폭넓게 확보 중이다.
━
김범석 “청문회 출석 불가…글로벌 CEO로 공식 비즈니스 일정”
이날 최민희 국회 과학기술정보방송통신위원장은 페이스북에 “하나같이 무책임한 인정할 수 없는 사유들”이라며 “과방위원장으로서 불허하며, 과방위원들과 함께 합당한 책임을 묻도록 하겠다”고 밝혔다.
이영근.김정재([email protected])