"용의자, 인증체계 개발자…6∼11월 지속 공격"

<앵커>

쿠팡 개인정보 유출 사태의 파장이 갈수록 커지는 가운데 국회에선 쿠팡을 상대로 긴급 현안질의가 열렸습니다. 용의자로 알려진 중국인 퇴사자는 단순한 인증 업무 직원이 아니라 인증 시스템 개발자로 확인됐습니다. 공범 여부에 대해선 "단정하기 어렵다"고 쿠팡 측은 밝혔습니다.

하정연 기자가 보도합니다.

<기자>

'쿠팡 개인정보 유출 사태'에 대한 국회의 긴급현안질의.

여야 의원들이 중국 국적의 전직 직원으로 알려진 개인정보 유출 용의자가 누군지, 또 무슨 일을 했는지 따져 묻자, 박대준 쿠팡 대표는 인증 시스템 개발을 담당했던 개발자였다고 답했습니다.

[신성범/국민의힘 의원 : 팀이었어요, 혼자였어요? 언제부터 근무했어요? 개발팀에.]

[박대준/쿠팡 대표이사 : 인증 업무를 한 직원은 아니었고, 인증시스템을 개발하거나 그런 개발자였습니다.]

인증 시스템 개발팀의 경우, 쿠팡 소속 직원 여러 명이 각각 역할을 나눠서 맡는다며, 유출 용의자가 한 명인지, 아니면 공범이 있는지 여부에 대해선 단정하기 어렵다고 했습니다.

[노종면/더불어민주당 의원 : 추정되는 자가 복수입니까, 단수입니까? ]

[박대준/쿠팡 대표이사 : 지금 단수다, 복수다라고 단정하긴 어려운 것으로 알고 있습니다. ]

서버 접속 과정에서 필요한 전자서명용 '암호키'가 어떻게 악용된 건지, 구체적 경로도 드러났습니다.

[브랫 매티스/쿠팡 최고정보보안책임자 : 쿠팡 내부에 있는 프라이빗 서명 키를 취득한 것으로 보입니다. 이 키를 인증해 가짜 토큰을 만든 것입니다.]

강도 높은 보안이 요구되는 암호키가 탈취된 만큼 허술한 보안관리에 대한 의원들의 질타도 이어졌습니다.

정부는 조사 결과, 지난 6월부터 외부 공격이 이뤄진 것으로 확인됐다고 국회에 보고했습니다.

[류제명/과학기술정보통신부 제2차관 : 공격이 식별된 기간은 6월 24일부터 11월 8일까지며 피해 계정은 3천만 개 이상이며…. ]

5개월 가까이 고객 개인정보가 빠져나가는 동안 이상징후도 제대로 몰랐단 얘기인데, 쿠팡 측은 용의자가 IP 주소를 여러 개 사용하는 방식으로 보안관제시스템을 피해 간 탓에 탐지에 실패했다고 해명했습니다.

(영상취재 : 김용우, 영상편집 : 이소영)