뉴스
[한겨레] '쿠팡 개인정보 유출' 용의자 1년 전 퇴사…"유출 더 장기간일 수도"
admin
2025년 12월 15일 10:27
65
"핵심 용의자, 쿠팡 인증 시스템 개발하던 개발자"유출 6월부터 있었지만 용의자 퇴사 시점 더 앞서
쿠팡 회원 3370만여명의 개인정보 유출 사태를 일으킨 핵심 용의자가 쿠팡의 인증 시스템 개발자였던 것으로 나타났다. 현재까지 쿠팡의 정보 유출은 지난 6월부터 있었던 것으로 파악되지만, 용의자 퇴사 시점이 지난해 12월로 드러나면서 실제 유출은 이전부터 이뤄졌을 가능성도 제기된다.
2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안질의에서 박대준 쿠팡 대표는 정보 유출 용의자로 추정되는 전직 직원이 "인증 시스템을 개발하는 개발자였다"고 밝혔다. 전날까지 인증 업무를 담당하는 직원 정도로 신원이 알려졌는데, 인증 시스템 구조 등을 잘 알고 있는 개발자가 직접 정보 유출에 나선 사실이 확인된 셈이다.
이날 현안질의에서 류제명 과학기술정보통신부 2차관은 "공격자는 로그인 없이 여러 차례 비정상으로 접속해 고객 정보를 유출했다"며 "이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자서명하는 암호키가 사용됐다"고 설명했다.
다만 박 대표는 해당 직원의 퇴사 뒤에도 접근 권한이 유지됐다는 의혹은 부인했다. 그는 "(절차에 따라) 권한을 말소했다"며 "이유는 알 수 없지만 침해자가 키값을 갖고 있었다"고 답했다. 브렛 매시스 쿠팡 최고정보보안책임자(CISO)는 "고객이 정상적인 로그인을 하면 토큰이 지급된다"며 "모든 쿠팡의 인증 토큰은 프라이빗 키에 서명함으로써 확인이 된다. (공격자는) 쿠팡 내부에 있는 프라이빗 키를 취득한 뒤 인증해 가짜 토큰을 만든 것"이라고 설명했다. 퇴직자의 계정을 삭제하지 않는 등 회사 쪽 기초 대응 미비가 유출 사태로 연결된 것은 아니라고 항변한 셈이다.
한편 민관 합동조사단이 현재까지 파악한 공격 기간은 지난 6월24일부터 지난달 8일까지로 나타났다. 하지만 이날 현안질의에서 용의자의 퇴사 시점이 지난해 12월로 드러나면서, 개인정보 유출이 더 장기간 계속됐을 가능성도 제기됐다. 이날 현안질의에서 이정헌 더불어민주당 의원은 '아직까지 발견 못 했지만 더 이른 시점의 유출 가능성이 있지 않으냐'고 질의하자, 김승주 고려대학교 정보보호대학원 교수는 "그럴 가능성이 있다"고 답했다. 이어 이 의원이 용의자가 재직 중 신용카드, 결제 정보, 로그인 정보 등 고객의 민감한 정보를 침탈했을 가능성을 묻자, 김 교수는 마찬가지로 가능성이 있다고 봤다. 애초 쿠팡의 정보 유출이 전직 직원의 협박 메일 발송 이후에 뒤늦게 확인됐다는 점에서, 침해 사실이 확인된 6월 이전에도 또 다른 정보 유출 가능성을 열어두고 살펴봐야 한다는 취지다.
정부는 과징금 강화, 징벌적 손해배상, 영업정지 등 여러 제재 수단도 다각도로 검토하고 있다. 전자상거래법은 통신판매로 소비자에게 재산상 손해가 발생했을 때 영업정지 처분까지 내릴 수 있도록 규정하고 있다. 국회 현안질의에서 이에 대한 질문이 나오자 배경훈 부총리 겸 과학기술정보통신부 장관은 "(관계 기관과) 적극 논의하겠다"고 말했다.
---
📰 출처: 한겨레
🔗 원문 보기: https://www.hani.co.kr/arti/economy/economy_general/1232460.html
쿠팡 회원 3370만여명의 개인정보 유출 사태를 일으킨 핵심 용의자가 쿠팡의 인증 시스템 개발자였던 것으로 나타났다. 현재까지 쿠팡의 정보 유출은 지난 6월부터 있었던 것으로 파악되지만, 용의자 퇴사 시점이 지난해 12월로 드러나면서 실제 유출은 이전부터 이뤄졌을 가능성도 제기된다.
2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안질의에서 박대준 쿠팡 대표는 정보 유출 용의자로 추정되는 전직 직원이 "인증 시스템을 개발하는 개발자였다"고 밝혔다. 전날까지 인증 업무를 담당하는 직원 정도로 신원이 알려졌는데, 인증 시스템 구조 등을 잘 알고 있는 개발자가 직접 정보 유출에 나선 사실이 확인된 셈이다.
이날 현안질의에서 류제명 과학기술정보통신부 2차관은 "공격자는 로그인 없이 여러 차례 비정상으로 접속해 고객 정보를 유출했다"며 "이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자서명하는 암호키가 사용됐다"고 설명했다.
다만 박 대표는 해당 직원의 퇴사 뒤에도 접근 권한이 유지됐다는 의혹은 부인했다. 그는 "(절차에 따라) 권한을 말소했다"며 "이유는 알 수 없지만 침해자가 키값을 갖고 있었다"고 답했다. 브렛 매시스 쿠팡 최고정보보안책임자(CISO)는 "고객이 정상적인 로그인을 하면 토큰이 지급된다"며 "모든 쿠팡의 인증 토큰은 프라이빗 키에 서명함으로써 확인이 된다. (공격자는) 쿠팡 내부에 있는 프라이빗 키를 취득한 뒤 인증해 가짜 토큰을 만든 것"이라고 설명했다. 퇴직자의 계정을 삭제하지 않는 등 회사 쪽 기초 대응 미비가 유출 사태로 연결된 것은 아니라고 항변한 셈이다.
한편 민관 합동조사단이 현재까지 파악한 공격 기간은 지난 6월24일부터 지난달 8일까지로 나타났다. 하지만 이날 현안질의에서 용의자의 퇴사 시점이 지난해 12월로 드러나면서, 개인정보 유출이 더 장기간 계속됐을 가능성도 제기됐다. 이날 현안질의에서 이정헌 더불어민주당 의원은 '아직까지 발견 못 했지만 더 이른 시점의 유출 가능성이 있지 않으냐'고 질의하자, 김승주 고려대학교 정보보호대학원 교수는 "그럴 가능성이 있다"고 답했다. 이어 이 의원이 용의자가 재직 중 신용카드, 결제 정보, 로그인 정보 등 고객의 민감한 정보를 침탈했을 가능성을 묻자, 김 교수는 마찬가지로 가능성이 있다고 봤다. 애초 쿠팡의 정보 유출이 전직 직원의 협박 메일 발송 이후에 뒤늦게 확인됐다는 점에서, 침해 사실이 확인된 6월 이전에도 또 다른 정보 유출 가능성을 열어두고 살펴봐야 한다는 취지다.
정부는 과징금 강화, 징벌적 손해배상, 영업정지 등 여러 제재 수단도 다각도로 검토하고 있다. 전자상거래법은 통신판매로 소비자에게 재산상 손해가 발생했을 때 영업정지 처분까지 내릴 수 있도록 규정하고 있다. 국회 현안질의에서 이에 대한 질문이 나오자 배경훈 부총리 겸 과학기술정보통신부 장관은 "(관계 기관과) 적극 논의하겠다"고 말했다.
---
📰 출처: 한겨레
🔗 원문 보기: https://www.hani.co.kr/arti/economy/economy_general/1232460.html