국내 1위 온라인 유통 플랫폼 쿠팡에서 3370만개의 고객 계정 정보가 유출된 사건의 원인으로 쿠팡의 허술한 퇴사자 관리 및 보안 관리 체계가 꼽힌다. 쿠팡이 고객 정보 유출을 5개월 동안 인지하지 못한 점에 대해서도 문제로 지적되고 있다.

관련 의혹을 수사하는 경찰은 쿠팡의 기술적 취약점과 정보 유출 은폐 시도에 대해서도 들여다볼 방침이다.

2일 경찰에 따르면 서울경찰청 사이버수사대는 지난달 25일 쿠팡 측으로부터 이번 개인정보 유출 사고와 관련한 고소장을 접수해 관련 수사를 이어가고 있다.

쿠팡이 제출한 고소장에는 피고소인이 특정되지 않아 '성명불상자'로 기재된 것으로 파악됐다.

유통업계에선 이번 정보 유출 사태의 핵심 용의자가 중국 국적의 전직 쿠팡 직원 A 씨이며, 그는 이미 출국한 상태로 추정하고 있다. A 씨가 쿠팡에 재직할 때 인증 업무를 담당했었다는 얘기도 있다.

경찰도 A 씨를 염두에 두고 현재 피의자 특정에 주력하고 있다. 대규모의 고객 계정 정보가 유출된 만큼, A 씨 1명의 소행이 아니라 조직적인 범죄일 가능성도 배제하지 않고 있다.

전문가들은 이번 고객 계정 정보 유출 사태에 대해 쿠팡 안에서 인증 업무를 담당하던 직원이 퇴사한 이후에도 내부 시스템에 접근할 수 있는 암호화 수단을 방치한 것을 문제로 지적한다.

최민희 국회 과학기술정보방송통신위원회 위원장이 지난달 30일 쿠팡으로부터 받은 자료에 따르면 쿠팡의 인증 관련 담당자에게 발급된 서명키 유효기간이 길어 담당 직원 퇴사 후에도 장기간 방치돼 이를 악용할 수 있었다는 의혹이 제기됐다.

서명키는 서버 접속에서 사용자를 정상 인식하는 기능을 한다. 의혹대로 서명키 관리 부실에 따른 사고라면 쿠팡이 고객 정보에 접근할 수 있는 문을 열어놓고 누구든 사용하도록 방치한 사태가 된다.

박춘식 서울여대 정보보호학과 교수는 "기본적으로 퇴사자 관리가 안 된 것 자체가 문제"라며 "보통 기업에서는 퇴사자에 대해 PC 등 모든 접근 권한을 막고 있는데 이런 기본적인 관리만 잘 됐어도 정보 접근이나 유출을 막았을 수 있었을 것"이라고 말했다.

이어 "인증 업무 담당자라고 해서 이러한 권한을 다 주면 안 되는데, 이 점 역시 내부 통제가 안 된 것"이라며 "서명키 등 문제는 그다음에 따져볼 문제"라고 설명했다.

김형중 고려대 정보보호대학원 교수는 "서명키를 관리하거나 그 시스템을 잘 알고 중요한 위치에 있는 사람이 퇴사했는데도 계속 접근할 수 있게 한 것은 퇴사자 관리에 문제가 있는 것"이라며 "가장 쉬운 문제에서 큰 구멍이 뚫린 것"이라고 했다.

이어 "퇴사한 뒤 정상적으로 로그인하거나 접근할 수 없었을 텐데 정상적인 권한을 가진 사람으로 내부 통제 시스템상 인식됐다면 이 또한 문제"라고 덧붙였다.

지난 6월 말부터 고객정보 탈취 시도가 있었는데도 쿠팡이 이를 인지하지 못하고, 고객 제보를 통해 뒤늦게 파악했다는 점도 문제로 지적된다.

쿠팡이 고객 정보 유출을 인지한 시점은 지난달 16일 일부 고객들이 협박성 이메일을 받으면서다. 이를 계기로 쿠팡은 관련 조사를 진행했으나 당시 파악한 고객 정보 유출 규모는 4500건에 불과했다.

박 교수는 "쿠팡 스스로 (유출 사실을) 안 것도 아니고, 이메일을 통해서 안 것인데 모니터링과 관리 체제가 잘 작동하지 않은 것"이라며 "쿠팡에서 인지한 시점과 이를 신고한 시점 등이 앞으로 조사 및 수사에 큰 영향을 미칠 것"이라고 말했다.

다만 "로그기록을 조작하거나 제대로 제출하지 않으면 이에 대한 규명이 어려울 수도 있다"고 덧붙였다.

일각에서는 뒤늦게 신고된 이유에 대해 고객 정보가 유출된 것을 은폐하려는 시도가 있었을 가능성도 조심스레 관측하고 있다.

쿠팡 측은 이 의혹을 부인하고 있으나 경찰에서는 쿠팡의 보안 체계 등 기술적인 부분에 대해서도 분석 중이다.

경찰 관계자는 "모든 가능성을 열어놓고 수사 중"이라며 "기술적 취약점 등 부분에 대해서도 수사할 예정"이라고 밝혔다.

shhan@news1.kr