팀장 절반 인도,중국인이 장악했는데",,, 쿠팡 직원들 `분노’
사상 초유의 개인정보 유출 사태로 쿠팡이 창사 이래 최대 위기를 맞았다.
서울 시내 한 주차장에 쿠팡의 배송트럭이 줄지어 서 있다. 임형택 기자
3370만 명의 개인정보가 유출된 쿠팡 사태의 원인은 퇴사한 외국인 직원이 회사가 방치한
‘디지털 마스터키’를 악용했기 때문인 것으로 드러났다.
용의자는 중국 국적의 전직 직원으로 특정됐으며, 경찰이 인터넷 주소(IP) 추적에 나섰다.
최민희 과학기술정보방송통신위원회 위원장이 쿠팡에서 받은 자료에 따르면
이번 해킹은 시스템 접속 권한인 ‘인증 토큰’을 생성하는 ‘서명키’가 유출돼 발생했다.
토큰이 일회용 출입증이라면,
서명키는 그 출입증을 발급해주는 도장과 같다.
자료에는 쿠팡이 이 서명키의 유효 기간을 통상 5~10년으로 길게 설정해둔 정황이 담겼다.
쿠팡은 해당 직원이 퇴사했음에도 이 ‘장기 유효 마스터키’를 갱신하거나 폐기하지 않았다.
이 때문에 용의자는 퇴사 후에도 외부에서 정상적인 출입증을 무한정 위조해 5개월간 아무런 제지 없이 고객 데이터베이스(DB)에 접근할 수 있었던 것으로 드러났다.
◇“외국인 개발자가 본사 점령”
쿠팡의 개인정보 유출 사태가 중국 국적 전직 직원의 소행으로 가닥이 잡히자 그동안 쿠팡이 공격적으로 추진해 온 글로벌 인재 채용 전략이 거센 역풍을 맞고 있다.
글로벌화와 비용 절감 앞세워 해외 인력을 무분별하게 늘리다가
내부 통제 실패로 한국 국민의 정보를 통째로 넘겨주는 결과를 초래했다는 비판이다.
1일 국민연금공단과 유통업계에 따르면 이달 기준 쿠팡의
한국 본사인 ‘쿠팡 주식회사’ 직원은 총 1만2203명이다.
이 가운데 외국인 임직원이 10%가량인 1000여 명에 이르는 것으로 알려졌다.
일각에선 “20~30%를 넘을 수 있다”는 얘기도 나온다.
서울뿐 아니라 해외 사무실을 포함하면 이 비중은 더 높아진다.
쿠팡은 서울과 판교뿐 아니라 해외 각지에 개발 기지를 두고 있다.
미국 마운틴뷰·시애틀·워싱턴DC는 물론 중국 베이징과 상하이, 인도 벵갈루루, 대만 타이베이, 싱가포르 등 세계 10여 개 도시에서 오피스를 운영 중이다.
문제는 이런 양적 팽창에 걸맞은 질적 내부 통제가 이뤄지지 못했다는 점이다.
e커머스업계 관계자는 “쿠팡이 개발 역량 강화를 명분으로 중국과 인도에서 인력을 대거 채용해 한국 프로젝트에 투입해 왔다”며 “특히 이번 사건의 유력 용의자인 중국인 전직 직원 A씨처럼 핵심 데이터에 접근할 수 있는 권한을 가진 외국인이 늘어나 보안 리스크가 시한폭탄처럼 커져 왔다”고 지적했다.
쿠팡 내부에서는 외국인 직원, 특히 고위직 외국인에 대한 불만이 커지고 있다.
복수의 업계 관계자에 따르면 쿠팡 내 핵심 보직인 L7급(팀장·디렉터급) 개발자의 절반 이상이 인도인과 중국인으로 채워진 상태다.
사내 커뮤니티인 블라인드 등에서는 이와 관련한 성토가 이어지고 있다.
“인도인, 중국인 리더들은 문제가 생기면 언어 장벽을 핑계로 나 몰라라 한다”는 게시글이 줄을 잇고 있다.
◇1조원대 과징금 폭탄 터지나
경찰은 쿠팡 고객 3370만 명의 개인정보를 유출하는 데 사용한 IP 주소를 확보해 유출자를 추적 중이다. 서울경찰청 관계자는 이날 정례 간담회에서 “쿠팡 측의 서버 로그 기록을 제출받아 분석 중이며 범행에 사용한 IP도 확보해 추적하고 있다”고 밝혔다.
경찰은 개인정보 유출자가 개인정보 유출 사실을 알리겠다는 협박성 이메일을 쿠팡에 보낸 인물과 동일인인지 등을 확인 중이다.
정부와 정치권은 이번 사태를 엄중하게 보고 있다.
개인정보보호위원회는 역대 최대 규모 과징금 부과를 검토 중이다.
현행법상 전체 매출의 3%까지 부과할 수 있어 산술적으로 최대 1조원대 과징금이 가능하다는 분석이 나온다.
“안전조치 의무 위반이 명백할 경우 감경 없이 수천억원대 과징금이 부과될 수 있다”는 게 전문가들의 설명이다.
정치권도 일제히 엄정 대처하겠다는 입장을 내놨다.
국회 과학기술정보방송통신위원회는 2일 박대준 쿠팡 대표와 최고보안책임자(CISO) 등을 대상으로 긴급 현안 질의에 나선다.
국회 정무위원회도 3일 개인정보보호위원회 등 유관 기관을 겨냥해 잇따라 현안 질의할 예정이다.
DISCLAIMERS: 이 글은 개인회원이 직접 작성한 글로 내용에 대한 모든 책임은 작성자에게 있으며, 이 내용을 본 후 결정한 판단에 대한 책임은 게시물을 본 이용자 본인에게 있습니다.
라디오코리아는 이 글에 대한 내용을 보증하지 않으며, 이 정보를 사용하여 발생하는 결과에 대하여 어떠한 책임도 지지 않습니다.
라디오코리아의 모든 게시물에 대해 게시자 동의없이 게시물의 전부 또는 일부를 수정 · 복제 · 배포 · 전송 등의 행위는 게시자의 권리를 침해하는 것으로 원칙적으로 금합니다.
이를 무시하고 무단으로 수정 · 복제 · 배포 · 전송하는 경우 저작재산권 침해의 이유로 법적조치를 통해 민, 형사상의 책임을 물을 수 있습니다.
This article is written by an individual, and the author is full responsible for its content. The viewer / reader is responsible for the judgments made after viewing the contents. Radio Korea does not endorse the contents of the articles and assumes no responsibility for the consequences of using the information.
In principle, all posts in Radio Korea are prohibited from modifying, copying, distributing, and transmitting all or part of the posts without the consent of the publisher. Any modification, duplication, distribution, or transmission without prior permission can subject you to civil and criminal liability.
