과방위, 쿠팡 현안 질의 열고 유출 사고 경위 추궁
'추가 유출·잘못된 노출 통지' 질타
쿠팡 박대준 대표·브랫 매티스 CISO 집중 질문해
쿠팡 "전 직원, 퇴직 후 권한 말소·국적 특정 어렵"
공동현관 비밀번호 포함 인정...추가로 신경 쓸 것
1조2000억원 과징금 가능 "책임 회피 생각 없어"
등록된 결제 카드 삭제·비밀번호 변경 제안 나와
'추가 유출·잘못된 노출 통지' 질타
쿠팡 박대준 대표·브랫 매티스 CISO 집중 질문해
쿠팡 "전 직원, 퇴직 후 권한 말소·국적 특정 어렵"
공동현관 비밀번호 포함 인정...추가로 신경 쓸 것
1조2000억원 과징금 가능 "책임 회피 생각 없어"
등록된 결제 카드 삭제·비밀번호 변경 제안 나와
[파이낸셜뉴스] 국회 과학기술정보방송통신위원회 위원들이 2일 쿠팡 현안 질의를 개최하고 박대준 쿠팡 대표에게 3300만개 넘는 계정 정보가 유출된 경위에 대해 추궁했다. 과학기술정보통신부 경과 보고에 따르면 이번 사고에서 식별된 공격 기간은 올해 6월 24일부터 11월 8월까지다. 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 고객 정보를 수차례 비정상으로 접속해 유출했다.
■"공동현관 비번도 유출"
박대준 쿠팡 대표는 개인정보 유출 사태 용의자로 지목된 중국 국적 전 쿠팡 직원의 역할을 묻는 신성범 국민의힘 의원 질문에 대해 "인증 업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였고 퇴직 후 권한은 말소된 상태였다"고 답했다. 다만 공격자 국적에 대해서는 "수사 중인 상태에서 특정 국적을 말하는 것은 차별이 될 수 있다"며 답하지 않았다.
노종면 더불어민주당 의원이 공격자가 단수인지 복수인지 묻자 "수사 중이라 특정하기 어렵다"면서도 "혼자 일하는 개발자는 없다. 여러 인원으로 구성된 개발팀이 여러 역할을 갖고 팀을 구성한다"고 말했다.
당초 고객에게 안내된 이름·이메일·전화번호·주소·주문 정보 외 추가로 유출된 정보도 드러났다. 노종면 의원이 공동현관 비밀번호도 유출됐냐고 묻자 박 대표는 "일부 포함된 것으로 알고 있다. 다만 각 정보에 공동현관 비밀번호가 항상 들어있는 것은 아니기 때문에 안내 문자에 쓰여 있지 않았던 것 같다. 추가로 신경 쓰겠다"고 설명했다. 박 대표는 "개인통관고유번호에 대해서는 현재까지 유출되지 않은 것으로 알고 있다"고 말했다.
■"법대로 과징금" 질의에 "책임 회피 않겠다"
최초 고객 통지문에 유출이 아닌 '노출'이라고 표현한 점, 꽉 채운 신고 시점에 대한 질타도 이어졌다. 이주희 민주당 의원은 "쿠팡은 노출이라고 표현했지만 내부에서는 침해 사고로 인식한 것이 명백해 보인다"며 "11월 18일 밤 10시 50분께 유출을 최초 인지하고 19일 밤 9시 35분, 즉 24시간을 거의 채워 한국인터넷진흥원(KISA)에 신고를 했다"고 꼬집었다.
이 의원은 "정보통신망법에 있는 '24시간 내 신고' 규정은 그 시간만큼은 넘기면 안 된다는 취지로 있는 것이다. 쿠팡은 형식적 기한만 지켰을 뿐 법의 실질적 내용을 준수하지 않았다"고 비판하자 박 대표는 "신고에 대해서는 늦추지 않았다"고 짧게 답했다.
과징금 부과에 대한 이야기도 나왔다. 이훈기 민주당 의원이 "개인정보보호법에 따라 매출액 3%까지 과징금을 물 수 있는데 쿠팡의 지난해 매출은 약 41조원이다. 법대로 1조2000억원의 과징금 물어야 않겠냐"고 묻자 박 대표는 "책임을 회피할 생각은 없다"고 답했다.
향후 보안 대책에 대해서 브랫 매티스 쿠팡 정보보안 최고책임자(CISO)는 "조사가 완료되면 KISA·개보위·과기부와 협력해 보안 체계를 대폭 강화하겠다"며 "위협 행위자들은 지속적으로 취약점을 노리고 있는데 계속 학습하고 대응 역량을 높일 것"이라고 했다.
추가 피해 방지를 위해 국민들은 최악의 상황을 가정할 필요가 있다는 의견도 나왔다. 이날 회의에 참석한 김승주 고려대학교 정보보호대학원 교수는 "쿠팡에 등록된 결제 카드가 있다면 모두 삭제하고 카드 비밀번호를 바꿀 것을 권장한다"며 "쿠팡 로그인 비밀번호도 변경하는 것이 좋다"고 당부했다.
kaya@fnnews.com 최혜림 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지