[방송기술저널 백선하 기자] 국회 과학기술정보방송통신위원회 여야 의원들은 쿠팡의 대규모 개인정보 유출 사태를 두고 “역대급 유출”, “치명적 보안 사고”라며 한목소리로 질타했다.
국회 과방위는 12월 2일 전체회의를 열고 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의를 진행했다.
류제명 과학기술정보통신부 제2차관은 경과보고를 통해 쿠팡 개인정보 유출 사고에서 식별된 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔다. 류 차관은 “지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3,000만 개 이상 계정에서 개인정보가 유출됐다”며 “공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출됐고, 이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다”고 설명했다.
이날 쿠팡 측에서는 박대준 쿠팡 대표와 브랫 매티스 정보보호 최고책임자(CISO) 등이 참석했다.
여야 의원들은 개인정보 유출 건수와 쿠팡 측 대응을 문제 삼았다. 먼저 박정훈 국민의힘 의원은 “3,370만 건이면 애들 빼고 이용하는 사람들 명의가 다 나갔다는 것”이라며 “쿠팡을 이용하는 모든 사람들 정보가 나간 것”이라고 꼬집었다.
이상휘 국민의힘 의원 역시 “개인정보 유출 사태가 아주 심각하다”면서 “정보 내란”이라고 언급했다.
이훈기 더불어민주당 의원은 “이런 큰 사고가 난 후에 안내나 사과를 하려면 명확하게 해야지 아무 생각 없이 ‘유출’이 아닌 ‘노출’이라는 표현을 쓰냐”면서 “완전히 국민들을 기만하는 것”이라고 비판했다.
앞서 쿠팡은 지난달 29일 입장문을 통해 11월 18일 약 4,500명의 고객 계정과 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔다. 쿠팡에 따르면 노출된 개인정보는 이름과 이메일 주소, 배송지 주소, 일부 주문 정보 등이다.
한민수 민주당 의원은 “이번 사태가 개인정보 유출이냐, 노출이냐 답변하라”면서 “지속적으로 ‘노출’이라고 쓰고 있다. 국민들에게 사기치는 것이냐”고 목소리를 높였다.
연이은 의원들의 질타에 박대준 대표는 “저희가 생각이 부족했었던 것 같다”며 고개 숙였다.
2차 피해 우려에 대한 질의도 쏟아졌다. 이준석 개혁신당 의원은 추가 피해 가능성을 염두에 두고 “유출된 것이 사용자 인증 시스템 암호화키인지 명확히 밝혀달라”고 했다.
이에 브랫 매티스 정보보호 최고책임자(CISO)는 “고객이 로그인 후 발급받는 토큰의 ‘프라이빗키’가 탈취된 것”이라며 “공격자가 이 키를 이용해 가짜 토큰을 생성하고 마치 정상적인 고객인 것처럼 사칭해 API에 접근했다”고 답했다.
이 의원은 “해커가 가짜 토큰을 만들어 주입하면 데이터베이스에 저장된 정보와 대조하는 과정 없이 인증이 통과된다는 것인데 사실상 ‘만능열쇠’가 털린 셈”이라면서 “해커가 5개월 동안 활동했는데 단순히 일부 API만 건드렸다고 보기 어렵다. 더 깊은 내부 시스템에 접근했을 가능성이 있다”고 우려했다.
이 의원은 또한 쿠팡에서 유출된 개인정보가 보이스피싱 등 범죄 조직으로 넘어갔는지 알기 위해 필요하다며 개인정보 유출자에 대한 질의를 진행했다.
이 의원의 질의에 박대준 대표는 “현재 수사가 진행 중”이라며 답변을 피했고, 브랫 매티스 정보보호 최고책임자(CISO)도 “현재 경찰 조사가 진행 중이기 때문에 이 부분에 대해서는 답변할 수 없다”고 말했다.
쿠팡 측의 잇단 답변 회피에 최민희 과방위원장은 “내부 조사가 진행됐음에도 경찰 핑계를 대면서 빠져나가려 한다. 오늘 회의가 끝난 뒤 청문회를 열어 김범석 의장까지 증인으로 채택할 수 있다”며 성실하게 답변하라고 경고했다. 김범석 쿠팡Inc 이사회 의장은 한국 쿠팡 지분 100%를 갖고 있는 쿠팡Inc의 의결권 74.3%를 보유한 최대주주다.
