"138일간 공격 당했다"…용의자는 중국 국적 '인증 시스템 개발자' [스프]

[이브닝 브리핑]

쿠팡의 대규모 개인정보 유출 후폭풍이 이어지고 있습니다. 국회 과학기술정보방송통신위원회는 과기정통부 차관을 불러 대응 경과를 보고 받았습니다. 이재명 대통령은 오늘 열린 국무회의에서 사고 원인을 조속하게 규명하고 엄중하게 책임을 물어야 한다고 말했습니다. 쿠팡은 5개월 동안 3,400만 건에 달하는 개인정보가 유출됐지만, 소비자 신고가 접수되고 범인으로부터 협박 이메일을 받을 때까지 까맣게 모르고 있었던 것으로 드러났습니다.

"공격은 6월 24일부터 11월 8일까지"...쿠팡, 범인으로부터 협박 이메일
국회 긴급 현안 질의에 임한 류제명 과기정통부 제2차관은 쿠팡 개인정보 유출 사고에서 식별된 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔습니다. 사고 대응팀이 기간을 넓혀 지난해 7월부터 올해 11월까지 전수 로그 분석을 진행했는데, 3,000만 개 이상의 계정에서 개인 정보 유출을 확인했다는 겁니다. 시스템에 침투해 개인정보를 빼내어 간 기간은 지난 6월부터 11월까지, 무려 138일간으로 특정됐습니다.

류제명 과기정통부 제2차관 국회 현안보고
"공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했습니다. 현재 언급되는 공격자의 신상에 대한 정보는 경찰 수사로 확인이 필요합니다."

쿠팡은 자체 조사를 통해 중국 국적의 전 직원을 용의자로 지목하고 경찰에 신고했습니다. 쿠팡 측은 지난 10월 퇴사한 이 직원이 인증 시스템을 개발하는 개발자였다고 밝혔습니다. 해외 서버를 통해 국내 메인 서버에 침투한 뒤 고객 정보를 유출한 것으로 파악됐습니다. 용의자는 이달 초 일부 회원들에게 최근 주문 목록과 이메일 주소, 전화번호 등 쿠팡 계정 정보가 담긴 사진 파일과 함께 '내가 당신의 개인 정보를 갖고 있다'는 협박성 이메일을 보냈습니다. 소비자 신고를 접수할 때까지 쿠팡 측은 5개월 동안이나 개인정보 유출을 인지하지 못했습니다. 용의자는 쿠팡 측에도 협박 이메일을 보내 자신이 고객 이메일 주소와 배송지 등 3,000만 건의 개인정보를 확보하고 있다고 알린 것으로 확인됐습니다.

박대준 쿠팡 대표는 국회 과방위 현안 질의 답변에서 "(용의자는) 인증업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다"면서 범행을 저지른 사람이 "단수나 복수라고 단정할 수 없다"고 말했습니다. 내부 조력자나 공범이 있을 가능성을 배제할 수 없다는 겁니다.

박대준 쿠팡 대표 국회 현안질의 답변
"혼자 일하는 개발자는 없습니다. 여러 인원으로 구성된 개발팀이 여러 역할을 갖고 팀을 구성합니다."

용의자는 인증 시스템 개발자...퇴사 이후에도 버젓이 '암호키' 사용
용의자는 인증 시스템을 직접 개발하는 업무를 담당한 만큼 쿠팡 내부 보안의 취약점을 누구보다 잘 알고 있었을 것으로 추정됩니다. 실제로 서버 로그 기록을 분석한 결과, 시스템에 접속할 때 일종의 '출입증' 역할을 하는 인증 토큰이 사용된 것으로 나타났습니다. 인증 토큰을 갖고 있으면 로그인 없이 서버에 접근할 수 있는데, 이 때문에 인증 토큰은 사용을 엄격히 제한하고 있습니다. 생성 후 폐기까지 짧게는 1시간 이내에만 유효하도록 만들어집니다. 이런 인증 토큰을 생성하는데 필요한 것이 바로 '서명키(암호키)'인데, 개발자인 범인은 퇴사 후에도 이 암호키를 마음대로 사용한 것으로 보입니다.

류제명 과기정통부 제2차관
"(범행 과정에서) 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐습니다."

통상 보안 담당자가 바뀌거나 퇴사하면 서명키를 폐기하거나 초기화해 모든 시스템에 접근할 수 없도록 해야 합니다. 이번 쿠팡 사태에서는 이러한 '기본 중의 기본'이 지켜지지 않은 겁니다. 쿠팡 측은 보안 관리 강화에 수백억 원을 투입했다고 항변하고 있지만, 대부분 외부로부터의 사이버 공격 차단에만 집중했을 뿐 정작 내부자 보안 관리에는 허술했다는 비판이 쏟아지고 있습니다.

이재명 대통령은 오늘 열린 국무회의에서 쿠팡 개인정보 유출 사고에 대해 엄중히 책임을 물으라고 지시했습니다. 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등의 대책을 마련하라고 강조했습니다.

이재명 대통령 국무회의 발언 中
"5개월 동안이나 회사가 유출 자체를 파악하지 못했다는 것이 참으로 놀랍습니다. 이 정도인가 싶습니다. 초연결 디지털 사회를 맞아 민간과 공공을 아우르는 '패러다임 시프트' 수준의 새로운 디지털 보안 제도를 조속히 시행해 주시기 바랍니다."

뉴욕 증시 쿠팡 주가 5%대 급락...김범석 의장 책임론 수면 위로
미국 뉴욕 증시에 상장돼 있는 쿠팡의 주가는 5% 넘게 급락했습니다. 전 거래일 대비 5.36% 내린 26.65달러에 장을 마쳤습니다. 거래량은 전날보다 4.5배나 늘어났고, 한 달 만에 가장 큰 하루 낙폭을 보였습니다.

쿠팡은 한국 전자상거래 시장을 지배하고 있는 기업이지만 미국에 본사를 둔 미국 법인입니다. 창업자인 김범석 쿠팡Inc 이사회 의장도 이민자 출신으로 이른바 '검은 머리 외국인'입니다. 쿠팡은 매출의 90%를 한국에서 올리고 있지만 국내 경영 책임과 관련해서는 소극적인 자세로 일관해왔다는 지적을 받고 있습니다. 미 증시 상장사임을 앞세워 물류센터 노동환경 문제, 과로사, 갑질 등 잇단 논란에 미온적으로 대처하고 있다는 비판이 나옵니다. 김 의장은 쿠팡의 실질적 소유주이지만 미국 국적이라는 이유 등으로 공정거래위원회의 '동일인(총수)' 지정을 피했습니다. 지난 2021년 뉴욕 상장과 함께 한국 법인 이사회 의장과 등기이사직에서도 물러나 법적 책임에서 벗어나 있습니다.

이훈기 더불어민주당 의원 국회 현안 질의
"김범석 쿠팡 의장이 사과할 의향은 없습니까?"

박대준 쿠팡 대표 답변
"제가 현재 이 사건에 대해 전체 책임을 지고 있습니다. 한국 법인에서 벌어진 일이고, 제 책임하에서 벌어져 제가 사과 말씀을 드립니다."

돈 노리고? 앙심 품어서?...불안한 소비자 '탈팡' 러시
개인정보 유출범의 범행 동기에도 관심이 쏠리고 있습니다. 용의자는 일부 고객에 이어 쿠팡 측에도 개인정보 유출 사실을 알렸는데 별도의 금품 요구는 없었던 것으로 알려졌습니다. 이를 두고 일각에서는 쿠팡 근무 당시의 일로 앙심을 품은 범인이 보복 범행에 나선 것 아니냐는 추측이 나옵니다. 오늘 국회에 참고인으로 출석한 김승주 고려대 정보보호대학원 교수는 "퇴사를 당하게 된 중국 국적 개발자가 앙심을 품고 일을 벌인 것 같다"는 내부 직원의 전언을 소개하기도 했습니다.

(남은 이야기는 스프에서)

조정 논설위원 parischo@sbs.co.kr