[뉴스토마토 이혜현 기자] 박대준 쿠팡 대표는 2일 대규모 개인정보 유출 사고 경위에 대해 "현재로서는 내·외부를 가리지 않고 모든 가능성을 열어놓고 조사하고 있다. 내부에서 인증키를, 어떤 방식인지 모르지만 인증키를 유출해서 활용했을 것으로 유력하게 추정하고 있는 것뿐"이라고 밝혔습니다. 사고의 핵심 열쇠인 인증키가 내부에서 빠져나갔다는 점을 시사한 것으로, 사실상 관리 부실을 시인한 셈입니다. 또 대규모 정보 유출의 용의자로 지목된 전직 중국 직원과 관련, "인증 업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다"고 말했습니다.
이날 국회 과학기술정보방송통신위원회는 쿠팡의 대규모 개인정보 유출 사태와 관련해 긴급현안질의를 진행했습니다. 박대준 쿠팡 대표이사와 정보보안 담당자, 그리고 과학기술정보통신부와 인터넷진흥원 등 유관 기관 관계자들이 참석한 긴급현안질의에서 3370만개에 달하는 고객 계정 유출 경위에 대해 의원들의 집중 추궁과 질타가 이어졌습니다.
외부 공격으로 인해 정상적 시스템이 무력화된 것인지 아니면 정보보안 시스템이 허술하게 관리되고 있기 때문에 내부 사정에 밝은 사람이 악용을 한 것인지를 묻는 한민수 민주당 의원 질의에 박 대표는 내부에서 인증키가 유출돼 활용된 가능성에 무게를 뒀습니다.
이와 관련해 브랫 메티스 쿠팡 최고정보보호책임자(CISO)는 "공격자라고 생각되는 사람은 훔친 서명 키를 사용해 실제로 피해자가 서명해 사용자인 것처럼 가장했다"며 "쿠팡 내부에 있는 프라이빗 서명 키를 취득한 것으로 보인다"고 구체적으로 설명했습니다.
프라이빗 키에 서명한 가짜 토큰을 가지고 인증에 성공하면서 고객을 사칭하는 행위가 발생했다는 것이 요지입니다. 브랫 매티스 CISO는 "모든 쿠팡의 인증 토큰은 프라이빗 키 서명을 함으로써 확인이 된다. 공격자는 이 키를 인증해 가짜 토큰을 만든 것"이라고 부연했습니다.
쿠팡의 창업주이자 실소유주인 김범석 쿠팡Inc 이사회 의장이 책임을 회피한다는 의원들의 지적이 나오자 박 대표는 이번 개인정보 유출 사고는 한국법인에서 벌어진 일로 자신의 책임이라고 선을 그었습니다. 김 의장은 2021년 쿠팡 한국법인 의장과 등기이사에서 모두 물러났습니다. 여기에 공정거래법상 동일인, 즉 대기업 총수 지정에서도 빠져 있어 사익 편취 금지나 친인척 자료 제출 등 각종 규제에서도 벗어나 있죠.
5개월 동안 고객정보 탈취를 인지하지 못하고 피해를 키워온 쿠팡에 당국이 법령이 허용하는 범위 내에서 최대 규모의 과징금을 부과해야 하고 아울러 징벌적 손해배상 책임을 물어야 한다는 주장도 나왔습니다. 이훈기 민주당 의원은 "현행법상 매출 3%까지 과징금을 매길 수 있는데 쿠팡의 지난해 연 매출은 43조원으로 법대로 1조2000억원을 물어야 한다"고 지적했습니다.
정부에서는 한발 더 나아가 기업의 책임이 명백하면 징벌적 손해배상 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라고 주문했습니다. 이재명 대통령은 이날 국무회의에서 "관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화하는 등의 대책에 나서달라"고 지시했습니다.
박대준 쿠팡 대표(왼쪽)와 브랫 매티스 쿠팡 CISO가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에 출석하고 있다. (사진=뉴시스)
이혜현 기자 hyun@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 강영관 산업2부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지