박대준 쿠팡 대표 "공격 용의자는 인증 시스템 개발자…서명키 빼내"

[국회 과방위 현안 질의]
내부 접근 '서명키' 취득해
개인정보 빼낸 것으로 추정

박대준 쿠팡 대표이사가 2일 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안 질의에서 생각에 잠겨 있다. 뉴시스

박대준 쿠팡 대표가 2일 대규모 개인정보 유출의 용의자로 지목된 전직 직원에 대해 "인증 업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다"고 밝혔다. 박 대표는 이날 국회 과학기술정보방송통신위 현안 질의에서 신성범 국민의힘 의원이 퇴직자의 이력을 묻자 이같이 말했다. 그는 "개발 조직은 한 명이 모든 것을 담당하는 구조가 아니다"라며 "여러 개발자가 팀을 이뤄 기능을 나눠 담당한다"고 설명했다. 앞서 11월 29일 쿠팡에서 3,370만 명의 고객 개인정보가 유출된 사실이 발표된 이후 쿠팡 측이 직접 유출자 관련 내용을 공개한 것은 처음이다.

이날 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 전직 직원이 개인정보를 빼낸 방식을 묻는 이준석 개혁신당 의원 질의에 "공격자는 훔친 서명키를 사용해 실제로 키에 서명을 해 다른 사용자인 것처럼 가장했다"고 했다. 그는 이어 "모든 쿠팡의 인증토큰 같은 경우에는 프라이빗(private)한 키를 서명함으로써 확인이 된다"며 "(공격자는) 쿠팡 내부에 있는 서명키를 취득한 것으로 보이며 이 키를 인증해 각자 토큰을 만든 것"이라고 했다.

이와 관련 김승주 고려대 정보보호대학원 교수는 "호텔에 들어갈 때 신원 확인하고 호텔키를 발급받는다"며 "이 키를 발급받는 비밀번호를 내부 개발자가 갖고 나간 것"이라고 말했다. 그는 이어 "(개발자가) 호텔방 키를 무한 생성해서 고객 정보를 빼낸 것이라고 볼 수 있다"고 덧붙였다. 다만 퇴사자가 어떤 식으로 서명키를 갖고 있었는지는 확인되지 않았다는 게 쿠팡 측의 설명이다. 박 대표는 "퇴직자에 대한 권한을 말소했고 침해자가 그 키값을 어떤 방식으로 (확보했는지) 현재로서 알 수 없다"며 "(개인정보 유출자가) 여러 IP(인터넷프로토콜)를 사용했기 때문에 단수, 복수라고 단정하기 어렵다"고 했다.

박준석 기자 pjs@hankookilbo.com