최상위 보안 자산 털렸다…"방 키 비밀번호 갖고 나간 격"
계속되는 회피성 답변에 "의장 부를 수 있다" 경고도
이준석 개혁신당 의원이 2일 오전 열린 국회과학기술정보방송통신위원회 긴급 현안 질의에서 "개인정보 유출자가 조선족이냐, 아니면 중국 사람이냐"고 따져 물었지만, 쿠팡 측은 "현재 수사 중인 사안"이라며 즉답을 피했다.
2일 국회 과방위는 쿠팡에서 3천300만개가 넘는 고객 개인정보 유출 사고가 벌어진 것에 관한 긴급 현안질의를 진행했다. 이 의원은 "쿠팡에서 유출된 개인정보가 보이스피싱 등 범죄조직에 팔렸는지 여부를 알기 위해 필요하다"며 이같이 질의했다.
이어 이 의원이 "범죄조직으로 넘어갔다고 볼 만한 피해사례 등 근거가 현재 있느냐"고 묻자, 박대준 쿠팡 대표는 "아직까지 없는 것으로 파악하고 있다"고 했다.
브랜 메티스 쿠팡 정보보호최고책임자 역시 "지금 제가 이 상황에서 전 직원의 동기에 대해서 코멘트를 드릴 수는 없을 것 같다"며 "현재 경찰 조사가 진행 중이기 때문에 이 부분에 대해서는 제가 답변드릴 수 없는 점 해량해 주시기 바란다"고 부연했다.
쿠팡은 보안 관리 체계에 근본적인 허점이 있었다는 전문가 지적에도 계속해서 직접적인 답변을 회피하는 태도를 보였다.
쿠팡 관계자들에 따르면 이번에 유출된 정보는 고객의 비밀번호나 개별 해시 값이 아닌, 기업 최상위 보안 자산인 '프라이빗 서명 키(Private Signing Key)'였다. 이는 고객의 서비스 접근 토큰(암호)를 생성하고 인증하는 데 활용된다.
유출자는 이 서명 키를 활용해 시스템에 접근할 수 있는 가짜 토큰을 만들고, 정상 사용자로 가장해 고객 정보를 탈취한 것으로 추정된다.
이에 대해 김승주 고려대학교 정보보호대학원 교수는 "방키 비밀번호를 내부 개발자가 갖고 나간 것으로 무한으로 생성할 수 있었다는 상황"이라며 "직원이 퇴사하면 회사 차원에서 이를 리셋해야하는데 전반적으로 관리가 부실했다고 볼 수 있다"고 쿠팡 측 과실을 지적했다.
이에 이 의원은 "가짜 토큰으로도 인증이 가능한 쿠팡의 시스템 구조가 이례적"이라며 "사고를 일으킨 직원은 과거 쿠팡에서 어느 수준의 개발 권한을 가졌느냐"고 물었다.
하지만 쿠팡 측은 "경찰 조사 사안이라 구체적으로 말하기 어렵다"며 "높은 권한을 가지고 있었을 가능성은 있다"고 답변하는 데 그쳤다.
결국 과방위는 쿠팡 측이 '회피성 답변'을 이어간다고 판단해 압박 수위를 높였다.
최민희 과방위원장은 "내부 조사가 진행됐음에도 경찰 핑계 대면서 빠져나가려 한다"며 "오늘 전체회의가 끝난 뒤 청문회를 열어 김범석 의장까지 증인으로 채택할 수 있다"고 쿠팡 측의 성실한 답변을 촉구했다.
