컨텐츠로 건너뛰기
검색
디지털데일리 언론사 이미지

쿠팡 '고객정보유출' 과방위 긴급 질의…유출 경로·2차 피해 집중 추궁 (종합)

디지털데일리 유채리 기자
원문보기

쿠팡 '고객정보유출' 과방위 긴급 질의…유출 경로·2차 피해 집중 추궁 (종합)

서울맑음 / 0.5 °

[디지털데일리 유채리기자] 쿠팡 고객정보 대규모 유출 사태의 원인 규명과 대책 마련을 위한 국회 긴급 현안질의가 열렸다.

국회 과학기술정보방송통신위원회(과방위)는 2일 서울 여의도 국회의사당에서 긴급 현안질의를 열고 쿠팡 박대준 대표이사와 브랫 매티스 최고정보보안책임자(CISO)를 상대로 사건 경위를 추궁했다. 배경훈 부총리 겸 과기정통부 장관, 류제명 과기정통부 2차관, 이정렬 개인정보보호위원회 부위원장 등도 출석했다.

쿠팡은 지난 11월20일 4500여개 고객 계정 정보 유출을 처음 공지했지만, 조사 과정에서 피해 규모가 약 3370만 계정으로 확대됐다. 이름, 이메일 주소, 배송지, 주소록, 일부 주문정보 등이포함된 것으로 확인됐다. 이날 질의에서는 유출자와 유출 경로, 초기 안내 표현 논란, 2차 피해 방지책 등이 주요 쟁점으로 다뤄졌다.

◆ "유출자 국적, 답하기 어려워…퇴사 시, 모든 권한 반납"

유출자로 지목된 인물은 중국 국적 전직 직원이다. 박대준 쿠팡 대표는 "수사 중이라 국적 언급은 조심스럽다"면서도 "인증 시스템 개발자였으며 팀 단위로 근무했다"고 말했다. 유출 통로는 로그인 인증에 사용하는 암호키로 추정되고 있다.

류제명 2차관은 "공격자가 로그인 절차 없이 비정상 접속에 성공했다"며 "서버 접근 토큰을 발급하는 암호키가 악용됐다"고 설명했다. 김승주 고려대 정보보호대학원 교수는 "호텔 방키를 무한 발급 가능한 비밀번호를 가져간 것"이라며 위험성을 경고했다.

퇴사자 권한 관리 소홀 지적에 대해 박 대표는 "퇴사 시 모든 계정과 자산을 회수한다"며 관리상 공백은 부인했다. 브랫 매티스 쿠팡 CISO도 "만약 직원이 연루됐다면 퇴사 전 회사 냅의 '프라이빗 키(보안용 서명키)'를 몰래 가져갔을 가능성이 있다"고 말했다.


유출 시점과 인지 시점 간 5개월 간극도 문제로 지적됐다. 매티스 CISO는 "조사가 진행되고 있어 말하기 조심스럽다"면서도 "유출자가 각각 다른 장소에서 여러 IP 주소로 접속한 것으로 보인다. 그 결과 보안 관제 시스템에 찍힌 접속 기록이 일정 기준보다 적게 나타나 이상 징후로 식별되지 않았다"고 해명했다.




◆ "'유출' 아닌 '노출' 단어 사용 송구"…2차 피해 우려 지적도

쿠팡이 안내문에 '유출'이 아닌 '노출'이라는 표현을 사용한 것에 국회는 법적 책임 회피 의도 아니냐고 추궁했다. 쿠팡은 문자와 웹 페이지 사과문에서 "후속 조사 결과 고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다"고 안내했다. 이에 박 대표는 "의도는 없었다"며 "명백한 유출이며 표현에 대해 송구하다"고 했다.

국회는 유출 정보가 스미싱, 주거지 범죄 등에 활용될 수 있다고 우려했다. 박정훈 국민의힘 의원은 "쿠팡 이용자 대부분의 정보가 유출된 셈"이라며 국민 불안이 심각하다고 지적했다.


이에 대해 박 대표는 "현재까지 확인된 2차 피해는 없으며 추가 피해 예방을 위해 최선을 다해 노력하겠다"고 밝혔다. 쿠팡에 따르면 현재 2차 피해 방지를 위해 고객센터에서 관련 문의를 접수 받고 있으며 정부기관과 함께 다크웹 등을 통한 추가 정보 유출 여부를 모니터링하고 있다.

이훈기 더불어민주당 의원은 "유럽연합(EU)처럼 매출의 일정 비율을 과징금으로 부과하는 제도 검토가 필요하다"며 징벌적 손해배상 의무화를 주장했다.




이 의원은 "유럽연합(EU)은 개인정보보호에 중대한 과실이 있을 경우 매출의 4%를 과징금으로 부과하기도 한다"며 "이런 사태가 발생하면 기업 역시 중대한 피해를 입을 수 있다는 인식을 심어줘야 한다"고 강조했다.


박 대표는 "잘못된 부분에 대해서는 과징금을 무는 것이 당연하다"며 "책임을 회피하지 않을 것이며 책임이 있다면 합리적인 방안을 찾아 배상해야 한다고 생각한다"고 말했다.

◆ "한국 법인 책임"…김범석 의장 책임론은 반박

김범석 쿠팡Inc 의장이 책임을 물어야 한다는 주장도 제기됐다. 미국에 상장한 기업이지만 매출의 대부분이 대한민국에서 발생하며 지금의 '공룡기업'으로 성장하는 데 있어서 우리나라의 역할이 컸다는 이유에서다.

최민희 과방위원장은 "김범석 의장이 책임을 다하는 모습을 보여야 한다"며 "양당 간사 협의 후 필요하다면 청문회도 진행할 것"이라고 압박했다.

이에 박 대표는 "한국 법인에서 발생한 일이기에 전적으로 제 책임"이라며 선을 그었다.

2차 피해 확산과 재발을 막기 위해서 보완과 개선에 힘쓰겠다고 강조했다. 박 대표는 "취약점을 모두 점검해 보완하고 보안 대응 수준을 높이겠다"며 정보보호 투자 확대를 약속했다. 그는 "정보가 안보 자산이자 사회적 인프라라는 지적에 공감한다"며 "매년 투자액을 증액하고 정보보호 부분에 더 많이 투자하고 개선될 수 있도록 고민하겠다"고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.