쿠팡 개인정보 유출사고가 인증업무를 담당하는 내부직원의 소행일 가능성이 제기됐다. 최민희 더불어민주당 의원은 1일 쿠팡 유출사고에 대해 “인증관련 담당자에게 발급되는 서명된 액세스 토큰의 유효 인증키가 장기간 방치돼 담당 직원이 퇴사 후에도 이를 악용했기 때문”이라고 분석했다.

최 의원이 지난달 30일 쿠팡으로부터 받은 자료에 따르면 쿠팡은 토큰 서명키 유효 인증기간에 대해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”며 “로테이션 기간이 길며, 키 종류에 따라 매우 다양하다”고 답했다. 범죄 악용 가능성을 시사하는 대목이다.

앞서 경찰은 지난달 25일 정보통신망법상 정보통신망 침입 혐의로 ‘성명불상자’를 수사해달라는 쿠팡의 고소장을 접수해 수사로 전환했다. 경찰은 수사 과정에서 인증업무를 담당했던 중국 국적의 전 직원을 특정한 것으로 알려졌다.

한편 서울경찰청 사이버수사2대는 쿠팡이 ‘회원들의 개인정보를 보유하고 있다’ ‘보안을 강화하지 않으면 유출 사실을 언론에 알리겠다’는 협박성 이메일을 받은 사실을 포착, 추적에 나섰다. 다만 이 협박메일에 금전 요구는 없었던 것으로 전해졌다. 경찰은 이 이메일이 최근 쿠팡 고객정보를 빼돌린 인물과 동일인이 보낸 것인지 수사 중이다.

앞서 쿠팡은 지난달 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔으나 후속 조사 과정에서 노출 계정 수가 3370만개로 확인됐다.

이재걸 기자 claritas@naeil.com