[서울=뉴스핌] 조민교 기자 = 쿠팡 개인정보 유출 사태의 공격자가 쿠팡 내부에서 인증 시스템 개발 업무를 맡았던 중국 국적 전직 직원인 것으로 알려지면서 책임 공방이 확산되고 있다. 이 직원이 퇴사 후에도 회사가 발급했던 서명키를 회수·폐기하지 않아 장기간 내부 인증 체계가 그대로 노출됐던 사실이 드러났다.

2일 국회 과학기술정보방송통신위원회의 긴급 현안질의에서 브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 "공격자가 사용한 서명키는 갱신 기간이 도래하지 않았던 정상적인 키였다"고 밝혔다. 쿠팡 인증 구조가 내부 DB 접근이 아닌 "서명키를 활용한 인증 토큰 위조 방식에 의해 악용됐다"는 설명이다. 매티스 CISO는 "비밀번호·해시값 등 고객 인증 정보가 유출된 정황은 없다"고도 말했다.

그러나 업계와 국회에서는 서명키 관리 부실이 '사건의 본질'이라는 지적이 거세다. 인증 토큰은 일회성이라 즉시 폐기되지만 토큰의 위조 여부를 확인하는 서명키는 보안 핵심 자산으로 퇴사자 발생 시 즉각 폐기·갱신돼야 한다. 쿠팡은 이 서명키를 그대로 방치해 6월부터 해외 서버를 통한 비정상 접근이 이어졌는데도 11월 말 소비자 신고 전까지 이를 인지하지 못했다.

박대준 쿠팡 대표는 이날 질의에서 해당 직원이 "인증 시스템 개발자이며 퇴사 후 권한은 말소됐다"고 밝혔다. 그러나 왜 서명키가 갱신되지 않았는지에 대해서는 구체적 답을 내놓지 못했다. 그는 "사전에 탐지하지 못한 부분은 인정한다"며 "두 번 세 번 할 말이 없다"고 거듭 사과했다.

국회에서는 쿠팡의 보안 투자 축소와 관리체계 부실도 강하게 문제로 제기됐다. 한국인터넷진흥원(KISA)에 따르면 쿠팡의 정보보호 투자 비중은 전체 IT 예산의 4.6% 수준으로 최근 3년간 감소세다. 총 매출 대비 투자 비율도 0.2%에 그쳐, 아마존·알리바바 등 매출의 최소 1% 이상을 보안에 투입하는 해외 빅테크에 비해 크게 뒤처진다는 비판이 나왔다.

최민희 과방위 위원장은 "매출 40조원 규모의 이커머스 업체가 기본 원칙조차 지키지 못했다"며 "서명키 관리 실패는 구조적 보안 부실의 결과"라고 지적했다. 쿠팡은 올해 초 미국 SEC에 제출한 보고서에서 "사이버보안 위협이 기업 실적에 중대한 영향을 미친 적 없다"고 기재한 바 있어 현실 인식이 안일했다는 지적도 제기된다.

매티스 CISO는 "조사 결과가 나오면 KISA·개보위 등과 협력해 보안 체계를 강화하겠다"며 재발 방지 대책 마련을 약속했다.

mkyo@newspim.com