업계 "쿠팡 유출 사태 의문점 많아"
보통 복수 취급자가 최소 권한 관리
금지된 다량 정보 '다운로딩' 논란
경찰 IP 추적… 中 공조수사 관건
집단 위자료 청구·소송 움직임 확산
보통 복수 취급자가 최소 권한 관리
금지된 다량 정보 '다운로딩' 논란
경찰 IP 추적… 中 공조수사 관건
집단 위자료 청구·소송 움직임 확산
|
"어떻게 이런 일이 벌어질 수 있는지 불가사의 투성이예요."
3370만명의 개인정보가 빠져나간 '쿠팡 사태'에 대한 보안업계 관계자들의 공통된 말이다. 중국 국적으로 추정되는 인증 시스템 개발자 '한 사람'이 쿠팡의 '모든 개인정보'를 털어간 건 현실적으로 어렵다는 것이다. 게다가 쿠팡의 '인지 시점'도 외부 접근으로부터 5개월이나 걸렸으니 너무나 늦었다는 지적이다.
서울경찰청 사이버수사대는 지난달 25일 고소장을 접수하고 사건 전반에 대해 수사 중이다. 현재 경찰은 쿠팡으로부터 서버 로그기록을 받아 범행에 사용된 '복수'의 IP를 확보하고 추적하고 있다. IP는 중국을 비롯한 여러 국가에 있는 것으로 조사됐다. 다만 피의자가 몇 명인지 아직 밝혀지지 않았다.
이는 이 사건에서 가장 의문스러운 대목이다. 보통 기업의 개인정보 취급자는 '다수'다. 복수의 취급자가 최소한의 정보를 관리하며 만약의 사태를 대비하도록 한다는 게 전문가들 시각이다. 그러나 쿠팡의 경우 중국 국적 추정의 피의자가 별도로 보관되는 탈퇴회원 정보까지 전부 빼돌린 것으로 알려졌다. 또한 다량의 정보를 다운로드할 수 있던 것도 이해가 가지 않는 부분이다. 원천적으로 외부 PC로 '다운로딩'이 금지돼 있는데 허용됐기 때문이다. 이와 관련해 염흥열 순천향대 정보보호학과 교수는 "정보마다 분리 보관을 하고 있는 데 전부 뚫린 것 같다"며 "한 명이 다 접근하면 안 되고 최소한의 권한만 주기 마련인데 어찌된 일인지 미스터리"라고 설명했다. 경찰의 IP 추적을 통해 실마리가 잡힐 수도 있는데 중국 국적으로 전해지는 만큼 공조 수사가 관건이 될 것으로 보인다.
또 하나는 쿠팡의 '인지 시점'이다. 앞서 쿠팡이 밝혔듯 지난 6월 24일부터 비인가 접근이 계속됐다. 그러나 쿠팡은 지난달 18일 알았다고 한다. 무려 5개월 동안 서버 침해를 몰랐던 것이다. 이 때문에 쿠팡의 부실한 정보관리 체계는 물론 '늑장 대응' 논란까지 일고 있다. 권헌영 고려대 정보보호대학원 교수는 "개인정보 관리에 있어서 인증 권한 등이 제대로 작동되지 않았다"며 "정말 허술했던 것인지 조사 결과를 봐야 할 것"이라고 했다. 이에 대해 경찰은 관계기관의 합동조사를 통해 침해 사고 여부를 밝혀야 한다고 했다. 경찰 관계자는 "전반적으로 수사하고 있는데 서버 침해에 대해선 어떻게 된 일인지 관계기관과 대응하고 있다"고 말했다.
피해자들은 '집단 소송'에 나선 상태다. 쿠팡 상대로 직접 위자료를 청구하겠다는 것이다. 이미 지난 1일 14명이 20만원씩 위자료 청구를 진행했다. 원고 측은 "(쿠팡이) 개인정보 자기 결정권을 중대하게 침해했다"며 "이름·전화번호·주소 등이 노출돼 극도의 불안감과 정신적 고통을 겪고 있다"고 주장했다.
이들 외에 국내 최대 포털사이트인 네이버 카페엔 10개 이상이 개설된 상태다. 2일 오후 4시 기준 전체 가입자 수는 중복 감안해 50만명에 이른다. 이에 조만간 '줄소송'이 이어질 전망이다. 한 카페 개설자인 김모씨(65)는 "더는 개인정보 유출이 무뎌지지 않도록 한다"며 "피해자들과 함께 캠페인처럼 관련 운동을 벌일 것"이라고 밝혔다.
