"3370만 개인정보 유출" 쿠팡, 공식 사과 했지만···

|스마트투데이=나기천 기자| 3370만명에 달하는 회원 개인정보가 유출된 해킹 사태와 관련해 박대준 쿠팡 대표이사가 1일 공식 사과했다.

박 대표는 이날 배포한 사과문에서 "6월 24일 시작된 쿠팡의 최근 사고에 국민 여러분께 큰 불편과 걱정을 끼쳐드려 진심으로 사과드린다"고 밝혔다.

박 대표는 "무단 접근된 고객정보는 이름, 고객 이메일, 전화번호, 배송지 주소, 그리고 특정 주문 정보로 제한되었고 결제 정보, 신용카드 정보, 고객 로그인 정보는 포함되지 않았다"고 강조한 뒤 "쿠팡은 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 경찰청 등 민관합동조사단과 긴밀히 협력하여 추가적인 피해 예방을 위해 최선을 다하겠다"고 말했다.

계속해서 박 대표는 "쿠팡은 향후 이러한 사건으로부터 고객 데이터를 더욱 안전하게 보호할 수 있도록, 현재 기존 데이터 보안 장치와 시스템에 어떤 변화를 줄 수 있는지 검토하고 있다"고 전했다.

같은 날 최민희 국회 과학기술정보방송통신위원회(과방위) 위원장은 이번 사태가 쿠팡이 인증 담당자에게 발급한 '액세스 토큰'의 유효 인증키가 장기간 방치됐기 때문에 발생했다고 주장했다. 

담당 직원이 퇴사 후 이를 악용해 해킹했다는 것인데, 사실일 경우 쿠팡의 관리 책임이 불거질 전망이다.

이날 최 위원장이 쿠팡에서 받은 자료에 따르면, 쿠팡은 해킹에 악용된 인증키의 유효기간에 대해 "5~10년으로 설정하는 사례가 많다는 것으로 알고 있다", "로테이션 기간이 길며 키 종류에 따라 매우 다양하다"고 답한 것으로 전해졌다.

쿠팡 측은 이렇게 답하며 구체적인 인증키 유효기간은 경찰 수사 중을 이유로 공개하지 않았다.

액세스 토큰 인증키는 내부 시스템 정보 접근 권한 증명서를 만드는 데 쓰인다. 그런데 쿠팡이 토큰 생성에 필요한 서명 정보를 담당직원 퇴사 시 삭제하거나 갱신하지 않고 방치해 내부 직원이 악용했다는 게 최 위원장 측 판단이다.

최 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다. 장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 질타했다. 

 과방위는 2일 오전 10시 국회에서 쿠팡 개인정보 유출 사태에 대한 긴급 현안 질의를 진행하기로 했다. 대규모 피해가 발생한 만큼 현안 질의가 필요하다는 데 여야가 뜻을 모은 것으로 전해졌다. 과방위는 과학기술정보통신부, 한국인터넷진흥원 등 유관기관을 비롯해 쿠팡의 박대준 사장과 정보보안 담당자를 불러 질의할 예정이다.

정부 역시 면밀한 사고 조사 및 피해 확산 방지를 위해 민관합동조사단을 가동하고 있다. 특히 개인정보위는 쿠팡이 개인정보 보호와 관련한 안전조치 의무(접근통제, 접근권한 관리, 암호화 등)를 위반하였는지 여부를 집중 조사 중이다.

막대한 규모의 회원 정보가 유출되면서 고객 불안은 가중되고 있다. 개인정보위 등은 "개인정보 탈취 및 금전 탈취 시도가 우려되므로 피해로 연계되지 않도록 사용자 주의가 필요하다"고 우려했다.

정부는 이와 관련해, “피해보상”, “피해사실 조회”, “환불” 등의 키워드를 활용한 쿠팡 사칭 스미싱에 주의하라고 대국민 공지를 했다. “긴급 앱업데이트”, “피해보상 신청”, “환불” 등의 서비스 안내 문자메시지 안에 악성 인터넷주소(URL) 클릭을 유도해 피싱사이트 및 악성앱 설치를 유도하는 게 전형적인 수법이다.

“피해사실 조회” 등 정보유출 피해 관련 키워드를 악용해 포털사이트 검색 시 피싱사이트가 검색결과 상단이나 광고로 노출돼 사용자 접속을 유도할 수도 있다. 정보유출 대상자 통보 및 보상·환불 절차 안내 등을 빙자해 유선 연략을 통한 원격제어 앱 설치를 유도하거나, 피싱사이트 접속 유도도 가능하므로 주의하라고 정부는 덧붙였다.

한편, 이번 사고와 관련해 쿠팡 전현직 직원들이 가입돼 있는 커뮤니티에 올라온 글이 온라인 등에서 이목을 끌고 있다. 지난달 30일 직장인 익명 커뮤니티 '블라인드'에 게시된 '쿠팡 개발자임'이라는 제목으로 글이다.

해당 글의 작성자는 "현재 쿠팡 IT(정보기술) 인력 반 이상이 중국인,  매니저는 거의 90% 이상이 중국인"이라며 "몇 년 전까지만 해도 20~30%였는데, 매 분기 올핸즈(전 직원) 때 신규 입사자들 소개하면 80%가 중국, 나머지가 인도, 한국인이었다. 차근차근 비율 높이면서 카르텔을 형성했다"고 썼다.

그러면서 작성자는 "이번 사태도 개인적인 생각으로 무분별하게 중국인들 데려다 쓴 결과라고 본다"며 "그들은 우리 서비스를 이용하지도 않고 오너쉽도 없다"고 주장했다.