쿠팡, 보안 기본도 안 지켰다… “전자서명키 악용”

[앵커]
쿠팡 개인정보 유출 사고의 구체적인 공격 기간과 경위가 공식 확인됐습니다. 공격자가 쿠팡 서버 인증에 사용되는 전자서명키를 악용한 것으로 드러났는데요. 이번 사태를 넘어 쿠팡이 국내에서 대부분의 매출을 올리는 기업이면서도 미국 법인이라는 이유로 책임을 회피한다는 비판도 함께 커지고 있습니다. 이혜연 기자입니다.

[기자]
쿠팡의 개인정보 유출 사고가 내부 인증키 관리 부실과 장기간의 비정상적 접근으로 발생한 것으로 알려지면서 책임 회피 구조까지 도마 위에 올랐습니다.

과학기술정보방송통신위원회는 쿠팡을 겨냥한 공격이 5개월 간 지속됐다고 밝혔습니다.
류제명 과기정통부 2차관은 2일 긴급 현안 질의에서 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3000만개 이상 계정에서 개인 정보가 유출됐다”며 “공격식별 기간은 지난해 6월 24일부터 11월 8일까지”라고 말했습니다.

이번 사태의 원인으로는 ‘액세스 토큰’과 ‘인증(서명)키’에 대한 관리 부실이 꼽힙니다.
공격자가 로그인 없이 고객 데이터에 여러 차례 비정상적으로 접속하는 과정에서 인증용 토큰을 전자 서명하는 암호키가 사용됐기 때문.

액세스 토큰은 내부 시스템에 접근할 수 있는 출입증이고, 인증키는 위조가 아님을 증명하는 수단입니다.
쿠팡이 퇴사자의 인증키를 폐기하지 않아 피의자로 지목된 중국인 직원이 고객 개인정보에 자유롭게 접근할 수 있도록 했다는 겁니다.

이날 박대준 쿠팡 대표는 피의자와 관련해 “인증 업무 담당자가 아니라 인증 시스템을 개발하는 개발자였다”며 퇴직자 권한을 말소했는지 여부에 대해서는 “이미 말소됐다”고 해명했습니다.

일각에서는 쿠팡의 책임 회피 구조도 문제 삼고 있습니다.
쿠팡Inc의 매출 대부분이 국내에서 이뤄지지만 법적 지배구조는 미국 법인에 두고 있어, 국내 사회적 책임이나 내부 통제 측면에서 ‘국내 기업의 의무’를 회피하고 있다는 비판이 끊이지 않는 상황.

쿠팡이 이번 사태로 수천억 원의 과징금을 부과 받을 가능성도 나오는 가운데, 쿠팡의 책임성과 지배구조 전반을 둘러싼 사회적 압박도 한층 강화될 전망입니다.

서울경제TV 이혜연입니다. /hy2ee@sedaily.com

[영상편집 김양희]