국회 과학기술정보방송통신위원회에 출석한 박대준 쿠팡 대표이사 등 관계자들이 개인정보 유출 사태에 대해 고개를 숙이면서도, 관련한 질문에는 답변을 피하는 태도를 보였다. 이에 최민희 위원장은 청문회를 열어 김범석 쿠팡 Inc 이사회 의장을 출석시키겠다고 경고했다.

2일 과방위에서 열린 쿠팡 개인정보 유출 사고 관련 긴급 현안 질의에 출석한 박 대표는 이번 개인정보 유출 사태에 대해 "한국 법인 대표로서 끝까지 책임을 지고 사태를 해결하도록 최선의 노력을 하겠다"고 사과했다.

그러나 김범석 의장의 사과 요구에는 "한국 법인에서 벌어진 일"이라며 선을 그었다. 박 대표는 김 의장이 직접 사과할 의향이 없냐는 질의에 "제 책임하에 있기 때문에 제가 다시 한번 사과 말씀을 드린다"며 "현재 이 사건에 대해 제가 전체 책임을 지고 있다"고 답했다.

김 의장은 미국 나스닥에 상장된 쿠팡Inc의 의결권 74.3%를 보유한 최대주주로 쿠팡의 실질적 소유주다. 쿠팡 Inc는 한국 쿠팡 지분 100%를 가지고 있다.

당초 쿠팡이 이번 사건을 개인정보 '유출'이 아닌 '노출'이라고 표현을 쓴 것에 대해 박 대표는 "책임을 모면하고자 하는 의미는 아니었다"면서 "생각이 부족했었다"고 사과했다.

그러나 구체적인 정황에 대한 질문에는 답변을 피했다. 의원들이 개인정보를 유출한 것으로 지목된 퇴사자의 국적, 동기, 유출 방법 등을 질의했지만, 박 대표 등 쿠팡 관계자는 경찰 수사를 이유로 답하지 않았다.

쿠팡의 보안 시스템 및 관리 규정과 관련한 자료 제출 요구에도 쿠팡 측은 영업 비밀을 이유로 제출을 거부했다.

심지어 실질적 소유주인 김 의장의 거취에 대해서도 "모른다"고 답했다. 박 대표는 "김 의장은 글로벌 비즈니스를 담당하고 있다"며 "(김 의장이 있는) 장소까지는 모르고 있다"고 말했다.

이에 과방위에서는 김 의장을 불러 청문회를 개최하겠다고 엄포를 놨다. 최 위원장은 "경찰 핑계를 대면서 답변을 안 하면 회의가 끝나기 전에 여야 간사 합의로 청문회 날짜를 잡을 것"이라며 "박 대표를 비롯해 (쿠팡의) 실질 소유자인 김범석 씨도 증인으로 채택할 것"이라고 경고했다.

최 위원장은 쿠팡이 자체 보안시스템과 관리 규정에 대한 자료도 제출하지 않는 것에 대해 "이게 영업비밀인가"라고 반문하면서 "보안시스템이 이렇게 잘 돼 있다고 이야기하면 이것은 영업비밀이 아니라 회사의 격이 높아지는 것"이라고 지적했다.

쿠팡 "유출 자료에 공동현관 비밀번호 포함"

이날 과방위에서는 쿠팡에서 유출된 3,370만명 개인정보에 공동현관 비밀번호도 일부 포함된 사실도 드러났다.

박 대표는 노종면 더불어민주당 의원이 "공동현관 비밀번호도 유출됐느냐"고 묻자 "일부 포함된 것으로 알고 있다"고 답했다. 쿠팡은 당초 유출된 개인정보에 대해 ▲고객명 ▲이메일 ▲배송지 전화번호 ▲실제 주소 등 항목이 유출됐다고 밝혔으나 공식적으로 공동현관 비밀번호도 유출된 것을 인정한 것이다.

이에 노 의원이 "그 내용이 (개인정보 유출) 안내문자에 들어가야 대응을 할 수 있지 않느냐"고 지적하자 박 대표는 "(각 정보에) 모두 항상 들어있는 것은 아니"라며 "그 부분 추가로 세심하게 신경쓰겠다"고 답했다.

과학기술정보통신부는 이날 회의에서 쿠팡 개인정보 유출 사태에 대한 대응 경과를 보고했다. 류제명 과기정통부 2차관은 "지난해 7월부터 올해 11월까지 전수 로그 분석을 한 결과 3천만개 이상 계정에서 개인 정보가 유출됐다"며 "공격식별 기간은 지난해 6월 24일부터 11월 8일까지다"라고 밝혔다.

6개월 전부터 쿠팡 서버에 대한 공격이 있었지만, 쿠팡은 이에 대해 모르고 있었거나 묵살하고 있었던 셈이다.

류 차관은 개인정보가 유출된 방법에 대해 "공격자는 로그인 없이 고객 정보를 여러 차례 비정상으로 접속해 유출했다"라며 "이 과정에서 쿠팡 서버 접속 시 이용되는 인증용 토큰을 전자 서명하는 암호키가 사용됐다"라고 설명했다.

이날 과방위에 출석한 브랫 매티스 쿠팡 CISO(최고 정보보호보안 책임자)도 "공격자로 생각되는 사람이 훔친 서명 키를 사용해 실제 키에 서명을 해서 다른 사용자차럼 가장한 것"이라고 밝혔다.

매티스 CISO는 토큰의 암호키에 대해 "정상적인 로그인을 한 고객이 서비스를 사용하기 위해 고객에게 지급되고 있는 토큰을 매개하는 것"이라고 설명했다.

이어 "쿠팡의 인증 토큰은 개인적인(프라이빗) 서명을 해서 확인이 되는데, (공격자는) 쿠팡 내부에 있는 서명키를 취득한 것으로 보인다"며 "이 키를 인증해서 가짜 토큰을 만든 것"이라고 말했다. 공격자가 쿠팡 내부에서 획득한 암호키로 가짜 토큰을 만들어 고객인 척 접속해 정보를 유출했다는 설명이다.

이와 관련, 류 차관은 지난 KT 무단 소액결제 사태처럼 이번에도 관리 부실이 있었다고 지적했다. 그는 "(KT의 펨토셀 관리 부실과) 기술적으로 차별성이 있지만 관리 부실 문제점이 공통으로 보였다"라고 말했다.