쿠팡에서 3,370만 건의 개인정보를 빼간 유력 용의자는 인증 업무를 담당한 개발자로 알려졌다. 특히 이 직원은 퇴사 후 내부 전산망을 근무했던 때처럼 드나들면서 개인정보를 가져갔고 쿠팡은 눈치를 채지 못했다. 쿠팡 고객이 “개인정보를 갖고 있다”는 협박 이메일을 받는 등 사건의 실체가 속속 드러나고 있다.
국회 과학기술정보방송통신위원회(과방위) 위원장을 맡고 있는 최민희 의원실은 1일 “쿠팡 정보 유출이 가능했던 이유는 인증 관련 담당자에게 발급되는 유효 인증키(서명키)가 장기간 방치됐기 때문”이라며 “담당 직원이 퇴사 후 이를 악용한 것으로 분석된다”고 밝혔다. 인증 업무를 담당한 전 직원이 개인정보를 훔쳐 갔다는 뜻이다. 업계에선 해당 업무를 맡다 퇴사한 중국 국적 직원을 유력 용의자로 추정하고 있다. 쿠팡에서 팀장, 디렉터로 관리자인 L7급 개발자의 절반은 인도인, 중국인이라고 전해진다.
기업 정보 보안 인력 중 인증 업무 담당은 높은 수준의 접근 권한을 가졌다. 다른 직원들이 내부망을 이용할 때 거쳐야 하는 인증 절차를 관리해서다. 열쇠를 갖고 내부망을 지키는 문지기인 셈이라 개인정보 등이 들어 있는 데이터베이스(DB)에 자유롭게 드나들 수 있다.
쿠팡의 개인정보는 6월 24일부터 밖으로 새어나갔는데 이는 해당 직원의 퇴사 이후 벌어진 것으로 보인다. 이 직원은 내부망 접속 과정에서 사용하던 토큰 서명키를 퇴사 후에도 사용했다. 토큰이 내부망 로그인에 필요한 일회용 출입증이라면 서명키는 출입 가능 여부를 한 번 더 검증하는 2차 보안 장치다.
회사를 그만두면 토큰 서명키를 회사에 돌려주거나 사용이 중지되지만 이 직원은 별다른 제지 없이 그대로 이용할 수 있었다. 쿠팡이 2024년 기준 정보 보호에 삼성전자(3,562억 원), KT(1,250억 원)에 이어 세 번째로 많은 861억 원을 투자한 게 무색하게도 내부 통제 시스템은 뻥 뚫렸다.
대기업에서 정보 보안 업무를 담당하는 한 임원은 “퇴사 직원이 출입증과 전산망 아이디, 비밀번호를 반납하는 건 기본인데 그보다 훨씬 강하게 관리해야 하는 토큰 서명키를 계속 썼다는 건 명백한 회사 책임”며 “또 내부 접근과는 차원이 다른 외부 접근을 발견조차 하지 못한 것도 선뜻 이해하기 어렵다”고 말했다.
경찰 “범행 사용 IP 확보해 추적 중”
사진은 1일 쿠팡이 피해 고객에게 보낸 개인정보 노출 통지 문자 메시지. 연합뉴스
빼돌린 개인정보를 악용한 사례도 나오고 있다. 쿠팡은 11월 20일 개인정보 4,500건이 유출된 사실을 알리고 이후 후속 조사를 거쳐 같은 달 29일 3,370만 건이 빠져나간 걸 공개했다. 그런데 이날 서울경찰청에 따르면 11월 16일, 25·28일에 각각 쿠팡 고객, 고객센터가 “개인정보를 갖고 있다”는 내용의 협박 이메일을 받았다. 쿠팡은 협박 이메일을 받은 고객이 관련 내용을 신고하면서 그제야 개인정보 유출 사실을 알았다.
협박 이메일은 두 개 계정에서 보내졌다. 개인정보를 빼돌린 쿠팡 전 직원의 공범이 있거나 사이버 암시장인 다크웹에서 정보가 이미 거래됐을 가능성도 배제할 수 없는 상황이다. 아울러 경찰은 개인정보 유출 용의자의 인터넷 프로토콜(IP)을 확보해 추적에 나섰다. 용의자가 중국인일 가능성을 포함해 수사를 진행하고 있다. 또 국제 공조 절차도 밟고 있다.
경찰은 또 개인정보를 악용한 보이스피싱, 주거 침임 등 범죄 발생 현황을 철저히 관리하겠다고 했다. 다크웹상에서 유출 정보의 유통·판매 여부, 막연히 불안감을 만들어내는 허위 사실 및 가짜 뉴스 유포 등도 모니터링할 방침이다.
박성주 국가수사본부장은 “이번 사건을 단순한 기업 보안 사고를 넘어 국민 한 사람 한 사람의 일상과 안전이 위협받는 문제로 인식하고 있다”며 “국민의 평온한 삶이 유지될 수 있도록 개인정보 유출 사건 수사 및 2차 피해 예방을 위해 최선을 다하겠다”고 말했다.
대통령실도 쿠팡 개인정보 유출 사고와 관련해 대응에 나섰다. 강훈식 대통령 비서실장은 이날 수석보좌관회의에서 “징벌적 손해배상 제도가 사실상 작동하지 않는 현실은 대규모 유출 사고를 막는 데 한계가 있다”며 관련 제도 개선 방안을 주문했다. 국회 과방위와 정무위원회는 각각 2, 3일 전체회의를 열고 쿠팡 고객정보 유출 관련 긴급 현안질의를 진행하기로 했다.
