쿠팡 유출 직원은 중국 국적의 인증 업무 담당자

쿠팡 대규모 개인정보 유출 사태의  관련자가 중국 국적의 전(前) 직원인 것으로 확인됐다.
 
[서원일 기자=푸른한국닷컴] 1일 쿠팡측과 언론보도를 종합해 보면, 쿠팡의 약 3370만개 고객 계정의 개인정보를 외부에 노출한 직원 A씨의 국적은 중국으로 확인됐다.
 
해당 직원은 쿠팡 내부에서 인증 업무를 담당했던 것으로 알려졌다. 이 직원은 쿠팡 측이 제때 갱신하거나 폐기하지 않은 '액세스 토큰 서명키'를 통해 퇴사 후 범행을 저지른 것으로 파악됐다.
 
이 직원은 사건 발생 직후 한국을 떠나 중국으로 귀국한 상태이며, 이미 퇴사 처리된 것으로 파악됐다. 핵심 인물이 해외에 체류 중이라는 사실이 드러나면서 수사에 난항이 예상된다.
 
쿠팡 측은 이와 관련해서 "확인할 수 있는 내용이 아니다"란 입장을 밝혔다.
 
쿠팡 측은 지난달 25일 서울경찰청 사이버수사대에 고소장을 제출했다. 고소장에서 피고소인은 '성명불상자'로 기재됐지만, 유출 정황 조사 과정에서 중국 국적의 전 직원 A씨를 특정한 것으로 전해졌다.
 
A씨는 쿠팡에서 인증 업무를 담당했던 인물로, 내부에서 특정 정보에 접근하기 위한 사용자 인증이나 권한 부여를 처리했던 역할을 맡았던 것으로 알려졌다.
 
A씨 범행 시점이 퇴사 이후 시점이었단 것으로 정보유출이 가능했던 이유는 쿠팡이 내부에서 발급해둔 '서명된 액세스 토큰'의 서명키가 A씨 퇴사 후에도 유효한 상태로 장기간 방치됐기 때문인 것으로 전해졌다.
 
쿠팡 측은 "키 종류에 따라 다양하지만, 업계에서 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다"는 입장이다.
 
최민희 과방위 위원장은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 지적했다.