내부 직원 소행 가능성에 부실한 조직 관리 시스템 지적
쿠팡에서 발생한 3370만 건 규모의 개인정보 유출 사태가 단순한 기술적 취약점을 넘어, 내부 관리와 통제 부실이 낳은 구조적 리스크라는 지적이 커지고 있다. 외부 해킹이 아니라 내부 직원의 접근 권한에서 비롯된 정황이 제기되면서 기업 문화와 조직 관리 체계 전반의 허점이 재차 도마 위에 오르는 분위기다.
2일 유통업계에 따르면 쿠팡은 올해 6월부터 해외 서버를 통한 무단 접근이 있었고, 총 3370만 개 계정에서 개인정보가 확인됐다고 지난달 29일 밝혔다. 유출된 정보에는 이름과 이메일 주소, 배송지 주소, 전화번호, 일부 주문 정보 등이 포함됐다.
이번 개인정보 유출 사태는 수천 명의 고객이 한 인물로부터 협박성 메일을 받으면서 처음 드러났다. 일부 쿠팡 고객들이 영어로 작성된 의문의 이메일을 받았다고 쿠팡 측에 제보한 것. 메일에는 “당신의 정보 알고 있다”며 “쿠팡으로부터 확보한 정보이며 유출 가능성이 있다”는 경고 문구가 포함된 것으로 알려졌다. 비슷한 신고가 이어지자 쿠팡은 뒤늦게 점검을 실시했고, 당초 4470건으로 발표했던 사고 규모가 3370만 건으로 확대됐다. 용의자는 쿠팡 고객센터에도 “회원들의 개인정보를 보유하고 있다”며 “보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 내용의 이메일을 보낸 것으로 파악됐다.
과과학기술정보통신부 조사에 따르면 공격이 이뤄진 기간은 6월 24일부터 지난달 8일까지로 약 5개월에 달한다. 쿠팡은 지난달 18일에야 첫 유출 사실을 인지한 것으로 확인돼, 대규모 플랫폼 기업으로서 정보보호 체계가 제 역할을 하지 못했다는 비판이 제기된다. 쿠팡의 최초 신고서에 따르면 공격자가 인증용 토큰을 활용해 개인정보를 빼낸 것으로 파악된다. 인증용 토큰은 특정 정보에 접근할 수 있는 권한을 말한다.
통상적으로 해킹을 통해 개인정보가 유출되는 것과 달리 쿠팡 내부 직원의 소행이라는 추정이 나오면서 직원 관리 등 조직 관리 시스템에도 허점이 드러났다는 평가도 나온다. 이번 사태를 일으킨 인물로 쿠팡에 재직했던 인증 담당자 중국인 직원이 유력하게 지목되고 있으며 현재는 이미 퇴직한 것으로 전해진다. 쿠팡 측에 금전 요구도 하지 않은 것으로 알려졌다.
그간 쿠팡은 최고정보보호책임자(CISO)와 최고개인정보보호책임자(CPO)를 분리 운영하는 등 정보보호 수준을 강화했다고 밝혀왔지만, 서버 인증의 취약점을 아는 내부 직원에게 보안이 뚫린 셈이다. 쿠팡에 따르면 정보기술(IT)·전산 담당 중 권한이 있는 소수의 직원만 접근할 수 있다. 일각에서는 쿠팡 조직 내 지나치게 경쟁적인 사내 분위기와 직원들의 낮은 회사 로열티가 사태 원인이라는 목소리도 나오고 있다.
![달러가 움직이면 닭이 화내는 이유?…계란값이 알려준 진실 [에그리씽]](https://img.etoday.co.kr/crop/320/200/2182675.jpg)
