"유출자 중국인이냐 조선족이냐"…쿠팡 "수사 중" 함구

국회 과방위 '쿠팡 개인정보 유출' 사태 논의
공격자 신원 및 정보 유출 경위 관련 질의
'인증 마스터키' 탈취…쿠팡 CISO "글로벌 표준" 해명

등록 2025-12-02 오후 12:18:16

수정 2025-12-03 오전 8:20:02
가 가

[이데일리 이소현 기자] 쿠팡에서 3300만개가 넘는 고객 개인정보 유출 사태의 주범이 중국인 전 직원의 소행이라는 추정이 나오는 가운데 쿠팡 측은 경찰에서 수사 중인 사안이라며 대답을 회피했다.

국회에서는 ‘테크 기업’을 표방해온 쿠팡이 단순한 개인정보 데이터베이스(DB) 유출을 넘어 내부 관리 소홀로 인한 핵심 보안 인프라 붕괴를 초래했다는 기술적 문제에 대한 질타가 쏟아졌다.

박대준 쿠팡 대표가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에 출석, 질의에 답변하고 있다. 오른쪽은 오른쪽은 브랫 매티스 쿠팡 CISO. 이날 과방위는 쿠팡의 대규모 개인정보 유출 사태에 대해 긴급 현안질의를 진행했다.(사진=노진환 기자)

2일 국회 과학기술정보방송통신위원회(과방위) 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에서 박정훈 국민의힘 의원은 쿠팡에서 유출된 개인정보가 보이스피싱 등 범죄조직에 팔았는지 여부를 알기 위해서 필요하다며 “개인정보 유출자가 조선족이냐, 아니면 중국 사람이냐”고 질의했다.

이에 박대준 쿠팡 대표는 “현재 수사가 진행 중”이라며 대답을 회피했다.

박 의원이 “범죄 조직으로 넘어갔다고 볼 만한 피해사례 등 근거가 지금 현재 있느냐”고 묻자 박 대표는 “아직까지는 2차 피해는 없는 것으로 파악하고 있다”고 답했다.

이준석 개혁신당 의원은 “이번 유출 사고를 일으킨 직원의 동기가 무엇이라고 파악했느냐”고 질의했는데 브랜 메티스 쿠팡 정보보호최고책임자(CISO)는 “지금 제가 이 상황에서 전 직원의 동기에 대해서 코멘트를 드릴 수는 없을 것 같다”며 “현재 경찰 조사가 진행 중이기 때문에 이 부분에 대해서는 제가 답변드릴 수 없는 점 해량해 주시기 바란다”고 말했다.

이처럼 쿠팡 측의 잇단 회피성 답변에 최민희 과방위원장은 “내부 조사가 진행됐음에도 경찰 핑계 대면서 빠져나가려 한다”며 “오늘 전체회의가 끝난 뒤 청문회를 열어 김범석 의장까지 증인으로 채택할 수 있다”고 성실하게 답하라고 경고했다.

박대준 쿠팡 대표가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에 출석. 허리숙여 인사하고 있다. 이날 과방위는 쿠팡의 대규모 개인정보 유출 사태에 대해 긴급 현안질의를 진행했다.(사진=노진환 기자)

또 이날 과방위 회의에서 쿠팡에서 발생한 개인정보 유출 사건은 단순한 개인정보 데이터베이스(DB) 해킹을 넘어선 핵심 보안 인프라 붕괴에 가까운 것으로 파악됐다.

메티스 CISO는 이날 과방위 전체회의에서 유출된 것이 고객의 비밀번호나 해시값이 아니라, 고객의 서비스 접근 토큰(암호)을 생성하고 인증하는 데 사용되는 최상위 보안 자산인 ‘프라이빗 서명 키(Private Signing Key)’라고 밝혔다.

메티스 CISO의 설명에 따르면 공격자는 이 탈취한 서명 키를 이용해 시스템에 제출할 수 있는 ‘가짜 토큰’을 만들어 정상 사용자처럼 가장해 고객 정보에 접근했다.

이는 해커가 담장이나 현관을 뚫고 들어온 수준이 아니라 ‘집 열쇠를 복사할 수 있는 원본 마스터키’를 훔쳐 간 것과 같은 수준이라는 지적이 제기됐다.

이날 과방위 전체회의에 출석한 김승주 고려대학교 정보보호대학원 교수는 “방키 비밀번호를 내부 개발자가 갖고 나간 것으로 무한으로 생성할 수 있었다는 상황”이라고 지적했다. 또 “직원이 퇴사하면 회사 차원에서 이를 리셋해야하는데 전반적으로 관리가 부실했다고 볼 수 있다”며 해당 프라이빗 서명 키를 퇴사한 직원도 접근 가능하게 방치한 쿠팡의 관리 부실이 핵심 원인이라고 짚었다.

이러한 핵심 키 탈취 방식은 쿠팡의 보안 관리 체계에 근본적인 허점을 드러냈다는 지적이 이어지자 이 의원은 “가짜 토큰으로도 인증이 가능한 쿠팡의 시스템 구조가 이례적”이라며 의문을 제기했다.

이에 대해 메티스 쿠팡 CISO는 “쿠팡의 인증 절차는 전 세계적으로 표준적으로 쓰이는 API 기반 방식”이라며 “해시·패스워드 접근 흔적은 없고, 공격자는 극히 일부 API만 악용했다”고 답했다.

또 이 의원이 “사고를 일으킨 직원은 과거 쿠팡에서 어느 수준의 개발 권한을 가졌느냐”고 추궁하자, 메티스 CISO는 “경찰 조사 사안이라 구체적으로 말하기 어렵다”면서도 “높은 권한(Privileged Access)을 가지고 있었을 가능성은 있다”고 말했다.