2일 국회 과학기술정보방송통신위원회(과방위)의 긴급 현안질의에 참석한 김승주 교수는 "FDS가 제대로 작동했다면 내부자가 전자서명 키에 접속해서 인증 토큰을 대량으로 생산해 내는 것들을 사전에 막을 수 있었을 것"이라고 진단했다.
또 "탈퇴 계정에서 접속이 이뤄지면 차단되는 것이 맞다"며 "그게 방치됐던 것으로 봐서는 이상징후 탐지시스템이 전반적으로 좀 약했다고 생각한다"고 지적했다.
쿠팡의 근무 환경이 FDS 수준을 낮추는 구조적 원인이 됐다는 지적도 나왔다. 국내 기업들이 보안을 위해 내부망 접속을 사내로 제한하는 것과 달리, 쿠팡은 '글로벌 재택근무'를 이유로 외부 접속을 허용하고 있기 때문이다. 박대준 쿠팡 대표는 재택근무 현황에 대해 "부서장 자율 권한으로 부서마다 상이하다"고 말했다.
이어 최민희 과방위원장이 "재택근무 시 (직원의) 집에서도 내부망 접속이 가능하냐"고 묻자 "그렇다"고 답했다. 박 대표는 "(재택근무하는 직원은) 회사의 통상적인 서비스에 접근이 가능하다"고 부연했다.
김 교수는 "내부망 접속 수준을 높이면 (외부 접속 시) 불편함이 발생하기 때문에 수준을 낮게 설정하는 것이 일반적"이라며 쿠팡의 FDS 시스템 수준이 다른 기업에 비해 낮았을 가능성을 시사했다.
이 과정에서 경영진의 소극적인 답변 태도가 논란을 키웠다. 박 대표는 FDS 수준을 평가해달라는 질의에 "기술적 지식이 없다"며 답하지 않았다. 브렛 매터스 쿠팡 CISO(정보보호최고책임자)도 "FDS 시스템은 보안팀에서 관리하지 않고 있다"며 책임을 돌렸다.
최 위원장은 "CISO도 내 담당이 아니라고 하고, 대표도 모른다고 하면 누구에게 물어야 하느냐"며 "답을 하면 할수록 쿠팡은 정말 문제라고 느껴진다. 몇 겹으로 (인증이) 되어 있다면서 이런 일이 일어난 것은 이해할 수 없다"고 질타했다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>