쿠팡 개인정보 유출, 퇴직 개발자가 인증시스템 악용… 최대 1.2조 과징금 가능성

쿠팡에서 발생한 대규모 개인정보 유출 사건에 대해 박대준 대표가 국회에 출석해 공식 입장을 밝혔다. 이번 유출 사태는 인증 시스템 개발에 참여했던 전직 직원이 내부 보안 키를 탈취한 뒤 외부 사용자로 가장해 정보를 빼낸 것으로 파악돼, 기업 내부 보안 관리의 허점이 도마에 올랐다.

박 대표는 12월 2일 국회 과학기술정보방송통신위원회 전체회의에 출석해, 유출 혐의가 제기된 퇴직 직원이 단순 인증 업무가 아닌 인증 시스템을 개발하던 기술 개발자였다고 설명했다. 해당 직원은 쿠팡이 보유한 내부 프라이빗 서명키를 무단으로 취득한 뒤, 이를 이용해 가짜 인증 토큰을 만들어 고객 정보를 탈취한 것으로 알려졌다. 이는 일종의 내부 개발자가 호텔 객실 키 발급 시스템을 장악해 외부인을 들여보내는 구조와 유사하다고 브랫 매티스 최고정보보안책임자(CISO)는 풀어냈다.

이번 사건으로 인한 영향은 광범위할 것으로 보인다. 박 대표는 휴면 계정이나 탈퇴한 회원의 정보까지 일부 유출됐을 가능성을 시사하며, 피해 가능성 여부와 관계없이 모든 고객에게 개별 안내를 했다고 밝혔다. 또한 고객들이 배송 주소록에 기재한 공동현관 비밀번호도 일부 외부로 유출된 정황이 있다고 덧붙였다. 다만, 신용카드나 결제 비밀번호와 같은 민감한 결제 정보는 유출되지 않았다고 재차 강조했다.

정치권에서는 이번 사고에 대한 제재 수위를 두고 논의가 이어지고 있다. 더불어민주당 이훈기 의원은 쿠팡의 매출 규모를 감안할 때, 최대 1조 2천억 원에 달하는 과징금이 부과될 수 있다고 언급했다. 앞서 SK텔레콤은 비슷한 개인정보 유출 사건으로 1천347억 원이 넘는 과징금을 받은 바 있으며, 이번 쿠팡 사태가 훨씬 규모가 클 수 있다는 분위기가 형성되고 있다. 이에 대해 박 대표는 책임을 회피할 의도는 없다고 밝히면서, 대표로서 사태 해결에 최선을 다하겠다고 말했다.

쿠팡 측은 현재 2차 피해는 확인되지 않았다고 전했으며, 유출 사건의 배경이나 범행 동기에 대해서는 아직 수사가 진행 중이라 구체적 언급을 피했다. 전직 직원이 보복 심리로 범죄를 저질렀을 가능성도 제기됐지만, 명확한 동기는 밝혀지지 않은 상태다.

이번 사태는 대규모 온라인 플랫폼 기업이 내부 정보 보안 체계를 어떻게 관리해왔는가에 사회적 관심이 모이고 있다는 점에서 주목된다. 개발자가 내부 시스템 접근 권한을 활용해 고객 정보를 탈취한 사건인 만큼, 단순 방화벽 차원이 아닌 기술적·조직적 차원의 보안 프레임 재정비가 불가피해질 것으로 보인다. 아울러 개인정보 유출에 대한 사회 인식과 규제 수준도 한층 강화될 가능성이 있다.