경찰이 대규모 개인정보 유출 사태를 빚은 쿠팡을 상대로 사흘째 강제수사를 벌이고 있다. 사진은 지난 9일 오후 서울 송파구 쿠팡 본사 사무실에서 압수수색을 마친 경찰들이 압수품을 옮기고 있는 모습. /사진= 뉴스1 김진환 기자


경찰이 쿠팡의 대규모 개인정보 유출 사태를 두고 사흘째 강제수사를 벌이는 가운데 피의자인 전 중국인 직원의 근무 기간이 2년에 불과한 것으로 나타났다. 단기간 근무한 직원이 핵심 인증 시스템을 다룰 수 있었던 것으로 드러나면서 쿠팡의 내부 보안 통제 시스템에 심각한 허점이 있었다는 비판을 피하기 어려울 전망이다.


서울경찰청 사이버수사과는 11일 오전 9시40분께부터 서울 송파구 신천동 쿠팡 본사 사무실을 압수수색하고 있다고 밝혔다. 경찰은 지난 9일과 10일에도 사이버수사과장(총경)을 포함한 수사팀 17명을 투입해 약 10시간씩 압수수색을 진행했다.

영장에는 쿠팡의 인증 시스템 개발 업무를 맡았던 중국 국적의 전직 직원이 피의자로 특정됐다. 정보통신망법상 정보통신망 침입과 비밀누설 혐의가 적용된 상태다.


쿠팡 한국(서울) 지사에서 근무한 피의자는 보안 키(Key) 관리 시스템 관련 업무를 맡았으며 2022년 11월 입사해 지난해 말쯤 퇴사한 것으로 전해졌다. 근무 기간이 2년도 채 되지 않는 인물이 3370만건에 달하는 고객 정보를 유출할 수 있었던 것이다.

이에 업계 안팎에서는 쿠팡의 내부통제 시스템에 총체적 부실이 있었다는 지적이 나온다. 통상 민감한 정보를 다루는 기업은 직급이나 근속 연수에 따라 접근 권한을 차등 부여하고 철저한 로그 모니터링을 거치는데, 쿠팡에서는 입사 2년차 직원에게 회원 개인정보에게 접근할 수 있는 보안 업무를 맡기고 감시에 소홀했기 때문이다.


업계 관계자는 "보안을 중시하는 최근 분위기에서 입사한지 얼마 안된 해외 국적 개발자에게 개인정보 접근 권한 가능성이 있는 업무를 맡긴 것은 납득하기 어렵다"며 "글로벌 테크기업이라고 하지만 보안 투자나 관리는 후진국 수준으로 허술했음을 방증하는 사례"라고 지적했다.

그동안 서버 로그기록 등 쿠팡이 임의제출한 자료를 중심으로 분석을 진행한 경찰은 이번 압수수색으로 확보한 자료를 토대로 보다 객관적인 사실관계 규명에 나선다는 방침이다. 개인정보 유출자를 특정할 수 있는 디지털 증거와 개인정보 유출 경로, 원인 등을 파악하는 데 수사력을 모으고 있다.


쿠팡에서 개인 정보 유출이 발생한 기간이 길고, 확보해야 할 자료도 방대해 압수수색이 장기간 이어질 가능성이 제기된다. 정부 조사 결과, 쿠팡에서 지난 6월24일부터 11월8일까지 개인정보 유출 공격이 있었던 것으로 파악됐다. 경찰 관계자는 "압수수색 목적이 달성될 때까지 할 것"이라고 했다.