경찰이 고객 3천370만명의 개인정보가 유출된 쿠팡에 대해 강제수사에 나섰다. 9일 서울 송파구 쿠팡 본사 사무실을 압수수색했다. 13일 오전 경찰은 본사 사무실에 다시 수사관을 투입해 압수수색을 재개했다. 수사 당국은 방대한 디지털 자료를 확보하기 위해 주말까지 강제수사를 이어갔다.
경찰은 퇴사한 중국 국적 전직 직원의 행방을 집중 추적하고 있다. 이 직원이 퇴사 후에도 서명키를 사용해 고객의 인증 토큰을 발급한 것으로 드러났다. 인증 토큰은 로그인 시 발행되는 출입증으로, 토큰을 가진 상태에서 별도 로그인 없이 계정에 접근할 수 있다. 서명키는 토큰을 발행할 권한을 가진 열쇠로, 퇴사 직원이 이를 계속 사용한 것은 보안 관리 체계의 문제로 보인다.
통상 퇴사하면 모든 접근 권한이 제거되어야 한다. 쿠팡은 퇴사 직원이 서명키를 계속 사용한 사례가 발생했고, 이에 따라 갱신 또는 폐기 절차가 누락됐다는 지적을 받았다. 인증 토큰이 장기간에 걸쳐 점차 증가했고, 이는 시스템의 이상 감지 범위를 초과했을 가능성이 있다. 경찰은 유출 경위와 책임 소재가 드러날 경우, 관련자에 대한 형사 책임과 기업의 관리 책임까지 엄정히 따를 방침이다.
국회 과방위에서 쿠팡의 보안 관리 방침에 대한 질의가 이어졌다. 최민희 위원장은 퇴사 직원이 접근할 수 있는 서명키가 왜 갱신되지 않았는지에 대해 의원들의 질타를 받았다.
수사 당국은 쿠팡 내부 관리 시스템 전반에 구조적인 기술 취약성이 있었는지를 정밀 분석 중이다. 민관합동조사단이 조사 중이며, 17일에는 창업자 김범석을 포함한 쿠팡 관계자들을 증인으로 채택해 청문회를 열 예정이다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com