쿠팡 유출 ‘중국 퇴사자 접근’ 의혹⋯관리체계 구멍 드러났다 [이커머스 보안 쇼크]

경찰, IP 확보해 추적 중⋯“중국 가능성 포함해 수사”
커뮤니티서 ‘쿠팡 IT 인력 반 이상이 중국인’ 글 게시
쿠팡 퇴사자 접근 권한·계정 관리 체계 ‘부실’ 지적도

▲쿠팡 이용자 3370만여 명의 이름과 전화번호, 주소 등의 개인정보가 유출된 가운데 1일 서울의 한 쿠팡 물류센터 인근에 차량이 주차돼 있다. 신태현 기자 holjjak@

쿠팡의 개인정보 유출은 ‘내부자 일탈’이 아니라 퇴사자의 접근 권한조차 막지 못한 기업 시스템의 붕괴에서 비롯된 참사라는 지적이 거세지고 있다. 3370만 건이라는 사상 최대 규모의 정보가 빠져나간 배경에 쿠팡의 인증 키·퇴직자 계정·서버 접근 통제 등 기본적인 보안 절차가 사실상 작동하지 않았다는 정황이 속속 드러나면서다. 보안이 아니라 편의성에 올인해 온 쿠팡 방식이 부른 예견된 사고라는 비판도 나온다.

서울경찰청은 1일 쿠팡이 제출한 서버 로그를 기반으로 범행에 사용된 것으로 보이는 특정 IP를 확보해 추적하고 있다. 경찰 관계자는 “여러 가능성이 있어 제출된 자료를 바탕으로 분석하고 있다”며 “(중국 국적 가능성을) 포함해 수사 중이다. 국적은 말씀드리기 어렵다”고 밝혔다.

경찰은 피의자의 국적과 함께 그가 쿠팡에서 퇴직해 출국한 상태인지, 쿠팡에 ‘유출 사실을 언론에 알리겠다’는 내용의 협박성 이메일을 보낸 사람과 동일인인지 등도 확인하고 있는 것으로 알려졌다.

쿠팡이 처음 파악했던 유출 규모는 4500여 건이었지만, 이후 조사 과정에서 3370만 건으로 급증했다. 유출 정보에는 이름·이메일 주소·배송지 주소록 등이 포함됐다. 쿠팡 측은 결제 정보나 카드 번호, 비밀번호 등은 유출 내용에 포함되지 않았다는 입장이다.

다만 유출 기간과 접근 방식에 대한 설명은 제한적이다. 박대준 대표는 전날 “고객께 심려를 끼쳐 죄송하다”면서도 5개월간 유출을 인지하지 못한 이유에 대해서는 밝히지 않았다.

사건 발생 후 직장인 익명 커뮤니티에는 ‘쿠팡 IT 인력의 반 이상이 중국인이고, 매니저급은 대부분 중국 국적자’라는 내용의 글이 올라왔다.

쿠팡에 개발자로 재직 중이라고 밝힌 작성자는 한국인 퇴사가 반복되는 반면 신규 입사자의 대부분이 중국인이라고 주장했다. 또 ‘이번 사태는 무분별하게 중국인을 쓴 결과’라고 지적했다. 글은 삭제됐지만 SNS에서 확산하며 내부자 개입 가능성과 겹쳐 논란을 키웠다.

국회 과학기술정보방송통신위원장 최민희 더불어민주당 의원실에 따르면 이번 유출은 퇴사한 인증 담당자의 접근 권한이 퇴사 이후에도 제거되지 않아 발생했을 가능성이 제기된다. 쿠팡 시스템은 로그인 과정에서 ‘인증 토큰’을 발급하는데, 이 토큰을 만드는 데 필요한 서명키가 갱신되거나 폐기되지 않았다면 퇴사자도 정상 사용자와 동일한 토큰을 다시 생성할 수 있다.

서버는 유효한 토큰을 신뢰하기 때문에 이런 구조에서는 별도 로그인 없이 데이터베이스(DB)에 직접 접근하는 것도 가능해진다. 서명키가 계속 유지됐다면 대규모 정보 유출을 기술적으로 막기 어려운 상황이었을 것이라는 지적이 나온다.

이번 사건은 수사와는 별도로 쿠팡의 접근 권한·계정 관리 체계에 구조적 문제가 있었던 것 아니냐는 의문을 낳고 있다. 내부자 가능성이 제기된 만큼 쿠팡은 퇴사자 계정 차단 절차와 서명키 관리 방식 등 인적·보안 시스템 전반에 대한 검토가 불가피해 보인다.