개인정보 유출 사태 후폭풍
중국국적 직원 도운 공범 존재 가능
서울청 "피의자 특정 위해 수사 집중"
중국국적 직원 도운 공범 존재 가능
서울청 "피의자 특정 위해 수사 집중"
 |
| 국내 이커머스(전자상거래) 시장 1위 업체인 쿠팡에서 3000만건이 넘는 대규모 정보 유출 사고가 발생했다. 쿠팡은 현재까지 고객 계정 약 3370만개가 유출된 것을 확인했다. 사진은 1일 서울 시내 한 쿠팡 물류센터 인근에 차량이 주차돼 있다. /연합 |
3년 전에 쿠팡을 탈퇴한 A씨는 이렇게 말했다. 마른하늘에 날벼락이었다. 사용하지 않은 지 오래된 쿠팡에서 자신의 이름은 물론 전화번호, 집주소까지 전부 빠져나갔기 때문이다. A씨는 다른 피해자들과 함께 소송에 참여하기로 했다. A씨는 "이건 진짜 심각한 문제"라며 "너무 억울하다"고 호소했다.
같은 처지인 B씨도 "탈퇴한 주변 사람들 정보도 거의 다 털렸다"며 "쿠팡이 어떻게 대처하고 어떻게 보상을 할 건지 하루빨리 피해자들에게 밝혀야 한다"고 주장했다.
이처럼 쿠팡의 3370만명 정보 유출 사태엔 '탈퇴자'도 상당수 포함됐다. 탈퇴한 회원 정보의 경우 현 회원과 별도로 관리하기 때문에 쉽게 접근할 수 없지만 여지없이 털려버렸다. 현재까지 중국 국적 한 사람의 소행으로 알려지고 있지만 범행 특성상 '조직적'인 탈취 가능성도 제기되고 있다.
쿠팡은 지난달 29일 "해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다"고 공식 입장을 밝혔다. 정보 탈취를 시도한 자는 중국 국적의 직원 출신으로 전해지고 있다.
심각한 건 '탈퇴자' 정보 관리 체계도 뚫렸다는 것이다. 쿠팡은 약관상 탈퇴자 정보를 90일 이후 폐기한다. 다만 전자상거래법 등에 따라 최대 5년 정도 별도 보관한다. 현 회원 정보 체계가 아닌 다른 곳에 저장해 두고 있다는 의미다. 따라서 현 회원의 개인정보를 관리하는 취급자라도 탈퇴자의 정보에 접근하는 것은 불가능하다는 게 전문가들의 설명이다. 즉 중국 국적의 직원 한 사람이 아닌 공범에 의한 것일 수도 있단 얘기다.
염흥열 순천향대 정보보호학과 교수는 "조사를 해봐야 하지만 탈퇴한 개인정보까지 접근하는 건 일반적이지 않다"며 "개인정보 취급자들이 맡은 영역에서 각각 관리하기 마련인데 한 사람이 전부 접속하고 유출했다는 건 쿠팡 관리상 문제가 있는 것"이라고 했다. 권헌영 고려대 정보보호대학원 교수도 "정보 체계에 접근하는 권한을 세심하게 관리하지 못했을 가능성이 큰데 당국이 제대로 추적하고 조사해 봐야 한다"고 주장했다.
사건을 수사 중인 서울경찰청(서울청)은 여러 경우의 수를 염두에 두고 들여다보고 있다. 피의자가 한 사람이 아닌 경우까지 살피고 있는 것이다. 일단 서울청은 쿠팡 측으로부터 정보 체계에 대한 서버 로그기록을 받아 분석 중이다. 나아가 해외 공조도 진행 중인 상황이다. 서울청 관계자는 "피의자가 범행에 사용한 IP를 확보해 추적하고 있다"며 "(피의자가 복수인지는) 아직 확인된 게 없다. 피의자 특정을 위해 수사를 집중하고 있다"고 밝혔다.
이와 관련해 쿠팡 관계자는 "수사 중인 사안이라 자세한 내용은 확인해 줄 수 없다"며 "당국 조사를 통해 밝혀질 것"이라고 말했다.
