中 쇼핑몰서 한국인 계정 5000원에 판매?…쿠팡 “이번 사건과 무관”

김장겸 국민의힘 의원이 타오바오 등에서 쿠팡 계정이 23~183위안(약 5000원~4만원)에 판매되고 있는 사례를 제시하며

쿠팡 고객 3370만명의 개인정보 유출 사태 이후 중국 이커머스 사이트에서 한국인 쿠팡 계정 정보가 판매되고 있다는 의혹에 대해 박대준 쿠팡 대표는 “이번 사건과는 무관해 보인다”고 선을 그었다.

김장겸 국민의힘 의원은 2일 국회 과학기술정보방송통신위원회(과방위) 긴급 현안 질의에서 타오바오 등에서 쿠팡 계정이 23~183위안(약 5000원~4만원)에 판매되고 있는 사례를 제시하며 “로그인이 가능한 계정이 거래되는 수준이라면 로그인 정보가 유출된 것 아니냐”고 물었다.

박 대표는 “이 건에 대해서는 잘 모르겠지만, 이번 정보망 침해 방식은 회사 계정이나 시스템 로그인 정보를 사용한 게 아니다”라며 “퇴직자가 쿠팡 서비스 이용자인 것처럼 접속하는 방식”이라고 답했다.

브래드 매티스 쿠팡 글로벌 보안 총괄은 “해당 사례는 구체적으로 알지 못한다”며 “다크웹에서는 이커머스 계정을 여러 방식으로 탈취해 위조 계정을 판매하는 경우가 있다. 클라이언트 쿠키 정보를 이용해 계정을 가져가는 방식도 있다”고 했다. 그러면서 “당연히 이 문제를 살펴보겠지만, 이번 사건과는 무관해 보인다”고 덧붙였다.

이에 김 의원이 질의 현장에 참석한 김승주 고려대 정보보호대학원 교수에게 매티스 총괄의 설명이 맞는지 확인하자, 김 교수는 “쿠팡 측은 사용자 아이디·인증 토큰이 유출돼 저런 식으로는 거래될 수 없다고 얘기하지만, 내부자 관리가 느슨해 아이디·비밀번호가 유출됐다면 (김 의원이 제시한) 사례와 같은 시나리오도 가능하다”고 했다.

그러자 김 의원은 “박 대표는 2차 피해가 없었다고 했지만, 김 교수의 말대로라면 2차 피해 우려가 있는 것 아닌가”라고 질의했다.

박 대표는 “(2차 피해) 가능성을 부정하는 건 아니다”라면서도 “만약 로그인 계정이 실제 탈취됐다면 굳이 이를 팔 이유가 있는지 의문이 든다”고 답했다.

이날 과방위에선 쿠팡이 개인정보 유출 사고 뒤에 올린 사과문을 이틀 만에 슬그머니 내린 사실이 알려져 질타를 받기도 했다. 이 같은 지적에 박 대표는 “저 사과문 내용만으로는 부족하고, 현재 2차 피해를 불안해하시는 분들의 의견이 CS(고객 서비스)로 들어와 별도 이메일 공지로 더 상세한 내용과 사과문을 보내려고 준비 중이었다”며 “좀 더 세심하게 신경 쓰도록 하겠다”고 했다.

한편 이번 정보 유출은 쿠팡의 중국 국적 개발자가 퇴직 후 중국에서 쿠팡 고객들의 개인정보를 빼돌리며 일어난 것으로 전해졌다. 재직 당시 확보한 것으로 보이는 토큰을 이용해 147일간 3370만명의 데이터를 긁어모은 것으로 파악된다. 쿠팡 측이 데이터에 접근할 수 있는 열쇠를 장기간 방치하면서 이런 대규모 유출이 가능했다는 지적이 나온다.