쿠팡에서 3370만명의 개인정보를 대량 유출한 쿠팡 전 직원이 쿠팡에서 인증 관련 업무를 했다는 주장이 나왔다. 1일 정보통신기술(ICT) 업계와 최민희 국회 과학기술정보방송통신위원장에 따르면 쿠팡에서 고객 정보를 빼돌린 전 직원은 쿠팡에서 인증 관련 담당자였던 것으로 전해졌다. 해당 직원은 퇴사 이후 개인정보를 유출하는 과정에서 ‘인증 토큰’과 관련된 보안 취약점을 노린 것으로 추정된다. 인증 토큰은 로그인에 필요한 ‘일회용 출입증’이며, 서명키는 출입증을 찍어주는 도장 역할을 한다. 최 의원실은 “출입증이 있어도 출입을 허가하는 인증 도장이 없다면 출입할 수 없다”면서 “하지만 서명 키를 오래 방치해서 누가 계속해서 도장인 서명 키를 몰래 찍어서 쓴 것과 다름없다”고 설명했다. 인증 토큰은 생성과 폐기 주기가 비교적 짧고, 이를 생성하기 위해 서명키가 필요하다. 최 의원실이 쿠팡으로부터 받은 자료에 따르면 쿠팡은 “토큰 서명키 유효 인증 기간과 관련해 5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”라면서 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 설명했다. 쿠팡 로그인 시스템상 토큰을 생성하고 즉시 폐기되는 상황임에도, 토큰 생성에 필요한 서명 정보를 담당 직원이 퇴사할 때 삭제하거나 갱신하지 않아 내부 직원이 악용했다는 게 의원실의 분석이다. 의원실은 “서명키 갱신은 가장 기본적인 내부 절차임에도, 쿠팡은 이를 지키지 않았다”며 “장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라, 인증 체계를 방치한 쿠팡의 조직적·구조적 문제의 결과”라고 지적했다. 앞서 서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 이번 사태에 대한 고소장을 받아 수사에 착수했다. 쿠팡 측과 경찰은 개인정보를 유출한 사람에 대해 밝히지 않았지만, 쿠팡에 근무했던 중국 국적자가 내부에서 고객 정보를 비인가 조회했으며 현재 한국을 떠난 상태인 것으로 알려졌다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했는데, 이는 사실상 쿠팡 전체 가입자에 맞먹는 규모다. 유출 정보는 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보 등이다.

강훈식 대통령비서실장은 1일 쿠팡에서 발생한 대규모 개인정보 유출 사고와 관련해 “우리 사회 전체의 개인정보보호 체계의 구조적 허점이 있음을 보여준다”라고 지적했다. 전은수 대통령실 부대변인은 강 비서실장이 이날 수석보좌관회의에서 이 같이 말하며 관계부처에 근본적인 제도 보완을 지시했다고 밝혔다. 강 비서실장은 쿠팡의 개인정보 유출 사고와 관련해 “2021년 이후 4차례나 반복됐다”라며 “데이터가 기업 경쟁력의 핵심이 된 시대에 겉으로는 가장 엄격한 보호조치를 내세우면서도 정작 실제 관리 체계는 뒷문이 열려있는 형국”이라고 질타했다. 그러면서 과학기술정보통신부와 개인정보보호위원회에 근본적인 제도 보완과 함께 현장 점검 체계 정비, 기업의 보안 역량 강화 지원책 등을 마련해 보고할 것을 지시했다. 강 비서실장은 또한 “징벌적 손해배상제도가 사실상 작동하지 않은 현실은 대규모 개인정보 유출 사고를 막는 데 한계가 있다”며 “기업의 책임이 명백한 경우 제도가 실효성 있게 작동할 수 있도록 개선 방안을 검토하라”고 주문했다.