브랫 메티스 쿠팡 정보보호최고책임자(CISO)가 2일 오전 서울 여의도 국회에서 열린 과학기술정보방송통신위원회 전체회의에서 고개 숙여 인사하고 있다. /사진=뉴시스 김명년 기자


쿠팡의 대규모 개인정보 유출 사태의 핵심 원인이 퇴사자의 접근 권한을 즉시 회수하지 않은 '기초적인 보안 관리 부실'에 있었던 것으로 드러났다. 유력 용의자로 지목된 전 직원이 퇴사 후 약 6개월간이나 시스템 접근 권한(인증키)을 유지하며 회사 정보를 들여다본 것으로 밝혀져 충격을 주고 있다.


2일 국회 과학기술정보방송통신위원회(과방위) 오후 현안질의에서 이정헌 더불어민주당 의원은 쿠팡의 허술한 내부 통제 시스템을 집중적으로 파고들었다.

이 의원은 "정보를 유출한 것으로 보이는 퇴사자의 퇴직 시점은 지난해 12월인데, 개인정보에 접근한 흔적이 발견된 것은 올해 6월24일"이라며 "퇴사자가 회사를 떠난 뒤에도 6개월 동안 아무런 제재 없이 회사 정보를 훔쳐볼 수 있었던 것"이라고 지적했다.


이에 대해 브랫 매티스 쿠팡 CISO(최고정보보호책임자)는 "퇴사자가 재직 중 프라이빗 키를 탈취해 나간 것으로 보인다"며 사실상 내부 직원 통제에 실패했음을 시인했다.

이 의원은 퇴사 즉시 모든 접근 권한이 자동 차단되는 시스템이 부재했던 점을 강도 높게 질타했다. 그는 "퇴사 처리가 되는 순간 HR(인사) 시스템과 보안 시스템이 연동돼 즉각 계정이 잠겨야 하는데 쿠팡은 수동으로 관리했거나 시스템이 먹통이었던 것"이라며 "매년 정보보호 관리체계(ISMSP) 인증을 받으면서도 이런 기초적인 조치조차 안 된 것은 심각한 직무 유기"라고 비판했다.


참고인으로 출석한 김승주 고려대 정보보호대학원 교수 역시 "이번 사태의 근본 원인은 내부 직원 통제 실패"라며 "가장 중요한 전자서명 키 관리에 있어 기본적인 스탠다드조차 지켜지지 않았다"고 짚었다.

이에 박대준 쿠팡 대표는 "용의자가 사용한 인증값은 결제에 접속할 수 없다"며 "관련 자료는 정부와 공유 중"이라고 설명했다.