쿠팡 개인정보 유출, 전직 개발자 책임... 퇴사 후 권한 삭제

박대준 쿠팡 대표는 2일 국회 과학기술정보방송통신위원회 현안질의에서 고객계정 3370만건의 개인정보 유출 사태 용의자로 지목된 외국 국적 전 직원이 인증 시스템 개발자였다고 밝혔다. 박 대표는 해당 직원의 권한이 퇴사 후 말소됐다고 설명했다.

쿠팡 개인정보 유출 사건의 용의자로 지목된 전 직원은 중국 국적 개발자로 알려졌으며, 박 대표는 경찰 조사 중인 사안이라 구체적인 답변은 삼갔다. 더불어민주당 노종면 의원의 질의에 박 대표는 개인정보 침탈자가 복수인지 여부를 단정하기 어렵다고 답했다. 여러 아이디를 사용해 수사가 진행 중이며, 조사 결과는 경찰 및 정부기관에 제공했다.

이번 사태의 원인으로 지목된 ‘서명된 엑세스 토큰의 유효 인증키 장기간 방치’에 대해 박 대표는 명확한 답을 내놓지 않았다. 국회 과학기술정보방송통신위원장 최민희 의원실이 쿠팡으로부터 제출받은 자료에 따르면 쿠팡은 인증키 유효 기간을 5~10년으로 설정하는 사례가 많다. 박 대표는 이정헌 의원의 인증키 폐기 주기에 대한 질의에 키별로 다르다고 답변했다.

현장에서는 쿠팡 고객정보 유출 사태 이후 2차 피해가 발생할 수 있다는 우려도 제기됐다. 이해민 조국혁신당 의원은 AI 음성 사기 전화를 받은 고객이 있다며 2차 피해가 시작됐다고 지적했다. 박 대표는 개인정보 유출에 대해 할 말이 없으며 시스템 고도화가 필요하다고 말했다. 이번 조사를 통해 취약점을 파악하고 개선하겠다는 의지를 밝혔다.

박 대표와 함께 현안질의에 출석한 브랫 매티스 쿠팡 최고정보보호책임자(CISO)는 조사가 완료되면 관계기관과 협력해 개선해야 할 부분을 모두 개선하겠다고 말했다.