[아이뉴스24 안세준 기자] 박대준 쿠팡 대표는 2일 대규모 개인정보 유출 사고 경위에 대해 "내·외부를 가리지 않고 모든 가능성을 열어놓고 조사하고 있다"면서도 "어떤 방식인지는 모르지만, 내부에서 인증키가 유출돼 활용된 가능성을 유력하게 보고 있다"고 밝혔다. 사고의 핵심 열쇠인 인증키가 내부에서 빠져나갔다는 점을 시사한 것으로, 사실상 관리 부실을 시인한 셈이다.
![박대준 쿠팡 대표가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에 출석해 고개 숙여 인사를 하고 있다. 사진은 왼쪽부터 박대준 쿠팡 대표, 브랫 매티스 쿠팡 최고정보보호책임자(CISO). [사진=연합뉴스]](https://image.inews24.com/v1/798614c2a4725f.jpg)
박 대표는 이날 국회 과학기술정보방송통신위 현안 질의에서 "외부 공격으로 인해 정상적 시스템이 무력화된 것이냐, 아니면 정보보안 시스템이 허술하게 관리되고 있기 때문에 내부 사정에 밝은 사람이 악용을 한 것이냐"고 묻는 한민수 더불어민주당 의원 질의에 이같이 밝혔다.
이와 관련해 브랜 메티스 쿠팡 최고정보보호책임자(CISO)는 "공격자라고 생각되는 사람은 훔친 서명 키를 사용해 실제로 피해자가 서명해 사용자인 것처럼 가장했다"며 "쿠팡 내부에 있는 프라이빗 서명 키를 취득한 것으로 보인다"고 구체적으로 설명했다.
프라이빗 키에 서명한 가짜 토큰을 확보, 인증에 성공하면서 고객을 사칭하는 행위가 발생했다는 것이다. 브랫 매티스 CISO는 "모든 쿠팡의 인증 토큰은 프라이빗 키 서명을 함으로써 확인이 된다. 공격자는 이 키를 인증해 가짜 토큰을 만든 것"이라고 했다.
김승주 고려대학교 교수는 이 사고를 '호텔 방 키'에 빗대 설명했다. 김 교수는 이 자리에서 "호텔에 들어갈 때 주민등록증으로 신원 확인한 뒤 방 키를 발급받는다. 그 방 키를 발급하는 비밀번호를 내부 개발자가 갖고 나간 상황"이라며 "호텔 방 키를 무한 생성해 고객 정보를 빼낸 것으로 볼 수 있다. 원래 직원이 퇴사하면 키 생성 비밀번호를 리셋해야 하는데, 그런 기본 관리가 이뤄지지 않은 것으로 보인다"고 말했다.
사고는 6월24일부터 11월8일까지 약 5개월 동안 지속됐다. 쿠팡이 이 기간 동안 비정상 접근을 탐지하지 못한 점은 국회 질의 핵심이었다. 그러나 쿠팡의 답변은 "원인을 조사 중"이라는 수준에 머물렀다. 박 대표는 수사를 핑계로 답변을 회피하지 말라는 한민수 의원 지적에 대해 "조금 더 확인하고 보완해야 될 부분이라고 생각하고 있다"며 "내·외부를 가리지 않고 전부 다 모든 가능성을 열어놓고 조사하고 있다"고 답했다.
현재까지 파악된 유출 정보는 이름, 이메일 주소, 배송지 주소록, 일부 주문정보 등이다. 쿠팡은 카드번호, 로그인 정보 등은 유출되지 않았다고 했다. 박 대표는 2차 피해 가능성을 묻는 박정훈 국민의힘 의원 질의에 "아직까지는 없는 것으로 파악하고 있다"고 말했다. 류제명 과학기술정보통신부 2차관은 "유출 규모가 대규모라는 것을 파악한 즉시 대국민 메시지를 냈다. 2차 피해 방지를 위해 모든 가능성을 파악하고 대응하겠다"고 했다.
박 대표는 용의자로 지목된 전 중국인 직원에 대해 "인증업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다"고 밝혔다. 공격자가 복수일 가능성도 제기됐다. 박 대표는 정보를 유출한 사람이 몇 명인지 묻는 의원 질의에 "수사 중이라 말할 수 없다"면서도 "단수, 복수라고 단정할 수 없다"며 1명 이상일 가능성을 시사했다.
박 대표는 "쿠팡은 사고 후 이용자에 문자를 보냈다. 개인정보 유출이 아니고 노출이라는 표현을 썼다. 국민을 기만한 것 아니냐"고 질타한 이훈기 더불어민주당 의원 질의에 대해서는 "다른 의도는 없었다. 생각이 부족했던 것 같다"고 사과했다. 사고 축소 의도 아니냐는 질문에 대해서는 "책임 회피 의도는 전혀 없었다"고 해명했다.
/안세준 기자(nocount-jun@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기