쿠팡의 대규모 개인정보 유출 사태를 두고 중국 국적의 쿠팡 전(前) 직원이 인증토큰과 서명키를 이용해 데이터를 빼돌렸다는 데 무게가 실리고 있다. 데이터에 어떻게 접근할 수 있었는지, 연간 수백억원을 쏟아붓고도 어떻게 최악의 보안 사고가 발생했는지, 직원 한 명이 저지를 수 있는 일인지 등이 아직 완벽하게 풀리지 않은 미스터리다.
1일 쿠팡 등에 따르면 이번 사태의 주범으로 거론되고 있는 중국 국적 전 직원은 재직 당시 내부에서 특정 정보에 접근하기 위한 사용자 인증이나 권한 부여를 처리하는 역할을 맡았던 것으로 전해졌다. 고위직은 아니었지만 높은 정보 접근 권한을 가지고 보안 시스템의 취약점을 공략할 수 있었던 것으로 보이는 대목이다.
최민희 더불어민주당 의원은 이날 ‘액세스 토큰’(접근 권한 증명서)의 유효 인증키 부실 관리가 이번 사태의 원인이라고 지목했다. 내부 시스템에 접근하려면 액세스 토큰이 필요하고, 인증 업무 관련 담당자는 서명 인증키를 이용해 이를 일회용 출입증처럼 생성할 수 있다.
쿠팡은 토큰 생성에 필요한 서명 인증키를 장기간 삭제하거나 갱신하지 않았던 것으로 확인됐다. 퇴사한 직원도 현직 직원처럼 같은 토큰을 만들 수 있었던 것이다. ‘데이터에 어떻게 접근할 수 있었나’는 점이 설명된다. 최 의원은 “서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다”며 “장기간 유효 인증키를 내버려둔 것은 단순한 내부 직원의 일탈이 아니라 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다. 쿠팡은 “현재 수사 중인 상황이라 자세한 언급은 할 수 없다”고 밝혔다.
쿠팡은 정보 유출이 이뤄지고 5개월이 지나서야 피해 사실을 인지했다. 정보보호에 대규모 예산을 쏟아부으면서도 운영 및 관리를 제대로 못 한 것 아니냐는 비판이 거세다. 쿠팡은 국내 기업 중 정보보호 부문에 삼성전자와 KT 다음으로 많은 투자를 하는 곳이다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 쿠팡은 2022년 535억원, 2023년 639억원, 지난해 660억원으로 관련 투자 규모를 늘려온 바 있다. 돈보다는 운영상 문제가 있다고 볼 소지가 크다.
대규모 정보 유출이 유력한 용의자의 ‘단독 범행’인지도 해소되지 않는 의문점이다. 이번 사태에 배후가 있는 것 아니냐는 의혹이 계속 제기되는 이유다. 이 직원이 개인정보를 유출한 뒤 쿠팡에 협박성 이메일까지 보낸 것으로 알려지면서 특정 세력이나 범죄 단체가 연루됐을 가능성을 열어둬야 한다는 것이다. 다만 쿠팡은 대규모 개인정보 유출이 중국 국적 전 직원의 단독 소행으로 벌어진 일인지 아직까지 단정하기 어렵다는 입장이다. 추가 유출 여부에 대해서도 확인이 이뤄지지 않았다.
송언석 국민의힘 원내대표는 이날 페이스북에서 “전문가들은 (개인정보 유출) 사건들의 배후에 중국·북한 등이 있을 가능성이 크다고 지적하고 있다”며 “최근 업비트 445억원 해킹의 배후로는 북한의 해킹조직 ‘라자루스’가 유력하게 지목되고 있다. 이번 쿠팡 사태도 배후가 있다면 그 실체가 반드시 규명돼야 한다”고 적었다. 국회 과학기술정보방송통신위원회와 정무위원회는 각각 2일과 3일 쿠팡 경영진을 불러 소비자 계정 개인정보 유출 사태 점검을 위한 긴급 현안질의를 실시할 예정이다.
박성영 한웅희 기자 psy@kmib.co.kr