경찰이 고객 3370만명의 개인정보가 유출된 쿠팡에 대해 강제수사에 나섰다. 서울경찰청 사이버수사과는 9일 오전 총경급 과장 등 17명을 투입해 송파구 쿠팡 본사 사무실을 압수수색했다. 이는 5일 연속으로 이뤄진 압수수색으로, 전날까지 매일 10시간가량 고강도 수사가 진행됐다.
경찰은 중국 국적의 쿠팡 전직 직원 A씨를 피의자로 명시했다. A씨는 쿠팡에서 인증 시스템 개발 업무를 맡았던 것으로 알려졌다. 정보통신망침입과 비밀누설 혐의를 받고 있다. 퇴사한 직원이 서명키를 계속 사용해 고객의 인증 토큰을 발급한 것으로 드러났다.
인증 토큰은 로그인 시 발행되는 출입증으로, 토큰을 가진 상태에서 별도 로그인 없이 계정에 접근할 수 있다. 서명키는 토큰을 발행할 권한을 가진 열쇠로, 퇴사 직원이 이를 계속 사용한 것은 보안 관리 체계의 문제로 보인다. 퇴사 후 접근 권한이 유지되는 것은 통상적 관리 방침과 다르다.
서명키가 갱신되지 않고 폐기되지 않은 사례는 쿠팡의 관리 체계에 문제를 제기한다. 수개월간 외부에서 서명키를 활용해 인증 토큰이 생성됐고, 이는 이상 감지 범위를 초과한 것으로 보인다. 경찰은 유출자, 유출 경로, 원인 등 종합적인 사실관계를 규명하기 위해 디지털 증거를 압수수색했다.
국회 과방위에서 쿠팡 최고보안책임자 등을 상대로 퇴사 직원이 접근할 수 있는 서명키가 왜 갱신되지 않았는지에 대해 질의가 있었다. 통상 퇴사하면 모든 계정과 접근 권한이 제거되어야 한다고 지적했다.
민관합동조사단이 조사 중이며, 13일에는 창업자 김범석 쿠팡Inc 이사회 의장 등을 증인으로 채택해 청문회를 열 예정이다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com