[쿠팡 3370만명 고객정보 털렸다] “해외 서버 통해 인증없이 접근해 퇴사후 메일… 금전 요구는 없어” 경찰, 제3자에 판매 가능성 등 수사
30일 오전 서울 송파구 쿠팡 본사 모습. 뉴시스
광고 로드중
쿠팡의 이번 대규모 고객 정보 유출 사건은 쿠팡에서 이미 퇴직한 중국 국적 직원의 소행일 가능성이 커지고 있다. 쿠팡 측은 경찰에 ‘신원불상자’를 대상으로 고소장을 제출했지만 개인정보보호위원회(개인정보위)에 제출한 사건경위 보고서에는 전 중국 국적 직원이 쿠팡의 해외 서버를 통해 국내 메인 서버에 무단 접근했다는 등 범행 정황을 구체적으로 설명한 것으로 알려졌다. 또 경찰 수사 과정에서 중국 국적의 직원이 해외 체류 중 개인정보를 빼돌린 뒤 협박성 이메일을 보낸 정황도 포착된 것으로 확인됐다.
30일 경찰과 쿠팡에 따르면 해당 직원은 퇴사 후 해외로 나간 상태에서 “회원들의 개인정보를 보유하고 있다”며 “보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 내용의 이메일을 회사 측에 보낸 것으로 파악됐다. 금전 요구는 하지 않은 것으로 알려졌다. 경찰은 해당 이메일 발송자가 빼돌린 개인정보를 이미 제3자에게 전달하거나 판매했을 가능성도 염두에 두고 디지털 포렌식 등 추가 수사에 착수한 상태다.
정부는 쿠팡 서버의 인증 절차, 즉 로그인 과정 자체가 취약한 점이 이번 정보 유출의 원인인 것으로 보고 있다. 쿠팡의 최초 신고서에 따르면 공격자는 ‘유효한 인증 없이 접근한 기록이 발견됐고, 서명된 액세스 토큰을 악용한 것으로 추정된다’고 돼 있다. 액세스 토큰은 특정 정보에 접근할 수 있는 권한을 말한다.
광고 로드중
전문가들은 이번 정보 유출이 한국 시장을 공략하려는 외국 기업들에 의해 악용될 수 있다고 우려한다. 임종인 고려대 정보보호대학원 명예교수는 “쿠팡은 사실상 대부분의 국민이 이용하다 보니 쿠팡 고객 정보는 국내 소비자를 겨냥하는 다른 업체에 매력적인 표적”이라며 “유출된 내용이 한국 시장을 공략할 때 유용한 내용이다 보니 다크웹 같은 곳에서 비트코인을 통해 수백억 원에 거래될 수 있을 것으로 보인다”고 말했다.
일각에서는 이번 유출 사고로 알리익스프레스(알리)와 테무 등 중국 이커머스에 대한 불신이 커질 수 있다는 전망도 나온다. 한 유통업계 관계자는 “C커머스 기업들이 한국 시장을 공략하는 과정에서 공교롭게도 최대 경쟁자인 쿠팡을 흔드는 사건이 터진 것”이라며 “유출된 정보들이 C커머스로 흘러들어 갈 수도 있다”고 말했다.
이소정 기자 sojee@donga.com
김다연 기자 damong@donga.com
권구용 기자 9dragon@donga.com