한국일보 애틀랜타 전자신문

쿠팡에서 3,370만 명의 개인정보를 빼간 유력 용의자는 인증 업무를 담당 한 개발자로 알려졌다. 이 직원은 퇴사 후에도 근무 때처럼 내부 전산망을 드 나들면서개인정보를가져갔고쿠팡은 눈치를채지못했다. 쿠팡고객이“개인 정보를갖고있다”는협박이메일을받 는등2차피해우려도커지고있다. 국회 과학기술정보방송통신위원회 (과방위)위원장을 맡고 있는 최민희 더 불어민주당 의원은 1일“쿠팡 정보 유 출이 가능했던 이유는 인증 관련 담당 자에게 발급되는 유효 인증키(서명키) 가장기간방치됐기때문”이라며“담당 직원이퇴사후이를악용한것”이라고 밝혔다. 인증 업무를 담당한 전 직원이 개인정보를 훔쳐 갔다는 뜻이다. 업계 에선해당업무를맡다퇴사한중국국 적 직원을 유력 용의자로 추정하고 있 다. 쿠팡에서 L7(팀장·디렉터)급 개발 자의 절반은 인도인, 중국인이라고 전 해진다. 기업정보보안인력중인증업 무담당은높은수준의정보접근권한 을가졌다. 다른직원들이내부망을이용할때거 쳐야하는인증절차를관리해서다. 열 쇠를갖고내부망을지키는문지기인셈 이라 개인정보 등이 들어 있는 데이터 베이스(DB)에 자유롭게 드나들 수 있 다. 쿠팡의 개인정보는 6월 24일부터 밖 으로 새어나갔는데 이는 해당 직원의 퇴사이후벌어진것으로보인다. 이직 원은 내부망 접속 과정에서 사용하던 토큰 서명키를 퇴사 후에도 사용했다. 토큰이 내부망 로그인에 필요한 일회 용 출입증이라면 서명키는 출입 가능 여부를한번더검증하는2차보안장치 다. 회사를 그만두면 토큰 서명키를 회 사에돌려주거나사용이중지되지만이 직원은 별 다른 제지없이 그대로 이용 할수있었다. 쿠팡의내부통제시스템 이뻥뚫렸다는의미다. 대기업에서 정보 보안 업무를 담당하 는한임원은“퇴사직원이출입증과전 산망 아이디, 비밀번호를 반납하는 건 기본인데그보다훨씬강하게관리해야 하는토큰서명키를계속썼다 는건명백한회사책임”이라며“또내 부 접근과는 차원이 다른 외부 접근을 발견조차 하지 못한 것도 선뜻 이해하 기어렵다”고말했다. 빼돌린 개인정보를 악용한 사례도 나 오고 있다. 쿠팡은 11월 20일 개인정 보 4,500건 유출 사실을 알리고 후속 조사를 거쳐 같은 달 29일 3,370만 건 이 빠져나갔다고 발표했다. 그러나 이 날 서울경찰청에 따르면 이미 11월 16 일,25·28일에 쿠팡 고객, 고객센터가 “개인정보를갖고있다”는내용의협박 이메일을 받았다. 쿠팡은 협박 이메일 을 받은 고객이 관련 내용을 신고하면 서 그제야 개인정보 유출 사실을 알았 다. 박경담 · 최현빈기자☞2면에계속 2025년 12월 2일(화) D www.Koreatimes.com 전화 770-622-9600 The Korea Times www.higoodday.com 한국판 유력용의자中직원, 퇴사후에도 서명키로내부망진입해정보유출 “개인정보갖고있다” 고객협박까지 정보거래배제못해 … 2차피해우려 ‘내부망문지기’ 역할하는인증업무 팀장급개발자절반이中·인도국적 인증업무직원에털린쿠팡 ‘통제구멍’ 유재성경찰청장직무대행이1일서울서대 문구경찰청에서주재한전국경찰지휘부 화상회의에서12·3불법계엄당시경찰이국회의원의국회출입을통제한데대해대국민사과를하 고있다. ★관련기사4·5면 경찰청장대행‘계엄국회통제’대국민사과