[이코노미스트 김기론 기자] 쿠팡에서 3천370만 명의 고객 계정 정보가 유출된 사건과 관련해 내부 통제 부실 정황이 잇따라 드러나고 있다. 특히 전·현직 직원들이 활동하는 익명 커뮤니티 ‘블라인드’에서는 조직 운영과 인력 구조에 대한 폭로성 글까지 올라오며 논란이 확산하는 모습이다.

지난달 30일 블라인드에는 “쿠팡 개발자”라고 자신을 밝힌 작성자가 “현재 쿠팡 IT 인력의 절반 이상이 중국인이고, 매니저급은 90% 이상이 중국인”이라고 주장했다. 그는 “최근 몇 년간 신규 입사자 대부분이 중국 국적자였고, 고급 주거지원·자녀 국제학교 학비 등 한국인에게 없는 복지를 제공해 카르텔을 형성했다”고도 말했다. 이어 “대규모 유출 사고도 무분별한 외국인 인력 확대로 인한 예견된 결과”라고 지적해 네티즌 사이에서 거센 비판이 이어졌다.

한편 사건의 ‘기술적 원인’은 쿠팡 내부 인증 체계의 관리 부실로 좁혀지고 있다. 국회 과학기술정보방송통신위원장 최민희 의원실에 따르면, 개인정보 유출자로 지목된 중국인 전 직원은 인증 시스템을 다루는 담당자였으며, 퇴사 후에도 쿠팡 내부 시스템에 접근할 수 있도록 하는 ‘서명된 액세스 토큰’이 그대로 유효 상태로 남아 있었다.

액세스 토큰은 내부 특정 시스템 접근을 위한 일회용 출입증과 같고, 서명키는 해당 토큰이 위조되지 않았음을 증명하는 도장 역할을 한다. 즉, 서명키가 유효한 상태로 유지되면 퇴사자라 하더라도 시스템 출입이 가능해지는 구조다. 쿠팡은 “키 종류별로 유효기간이 다양하며 업계에서는 5~10년을 설정하는 경우가 많다”고 설명했지만, 이번 사태에 활용된 서명키의 구체적 기간에 대해서는 수사를 이유로 밝히지 않았다.

이번 사건은 쿠팡이 수년간 정보보호에 대규모 투자를 이어왔다는 점에서 충격을 더하고 있다. 쿠팡의 올해 정보보호 투자액은 890억 원으로, 삼성전자·KT에 이어 국내 최고 수준이다. 그럼에도 핵심 인증 체계가 퇴사자 관리조차 하지 못해 5개월간 유출 사실을 인지하지 못했다는 점에서 “운영 체계와 내부 통제의 근본적 실패”라는 비판도 제기된다.

서울경찰청 사이버수사대는 현재 쿠팡 서버 기록 등을 제출받아 분석 중이며, 유출 혐의를 받는 중국 국적 전 직원을 추적하고 있다. 경찰은 정확한 접근 경로, 서명키 유지 배경, 추가 공모 여부 등을 집중 조사할 방침이다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지