해고에 '앙심' 품고 유출?...쿠팡 3,370만 정보 유출 재구성 / YTN

쿠팡 정보 유출 사태의 유력 용의자는 퇴사 이후 5개월에 걸쳐 조금씩 고객 정보를 빼낸 것으로 추정됩니다.

그런데 쿠팡에 금전을 요구하지는 않는 등 명확한 목적이 읽히지 않아 회사에 앙심을 품었던 것 아니냐는 주장도 나옵니다.

이현정 기자입니다.

[기자]
쿠팡 정보 유출 사태의 유력 용의자, 중국 국적 A 씨는 인증시스템 개발자였던 것으로 드러났습니다.

정규직 직원으로 근무했고, 지난해 12월 회사를 퇴사했습니다.

[박대준 / 쿠팡 대표이사 (지난 2일) : (용의자는) 인증 시스템을 개발하거나 그런 개발자였습니다. 보통 개발팀이 여러 역할을 가지고 있는 직원들을 모아서 하나의 팀을….]

그런데, A 씨가 고객 정보를 유출한 흔적은 퇴사 이후 꽤 시간이 흐른 지난 6월 말부터 나타납니다.

범행은 5개월 가까이 이어졌는데, 쿠팡 측이 지난달 협박 메일을 받은 후에야 피해 사실이 알려졌습니다.

그런데 A 씨로 추정되는 발신자는 쿠팡 측에 메일을 보내기 9일 전에 일부 고객에게 먼저 메일을 보냈는데, 정보 유출 사실을 알리는 내용이었습니다.

쿠팡에도 '보안을 강화하지 않으면 유출 사실을 언론에 알리겠다'고 했을 뿐 대가를 요구하지는 않았습니다.

금전이 목적이 아니라는 분석도 나오는데, 일부에서는 A 씨가 해고당한 후 앙심을 품었을 거란 추측도 나왔습니다.

[김승주 / 고려대 정보보호대학원 교수 (CBS 김현정의 뉴스쇼) : 회사에 '너 한번 당해봐라'라는 게 더 강하다는 겁니다. (내부에서는) 퇴사를 당한 중국인 개발자가 앙심을 품고 이런 걸 한 것 같다….]

A 씨가 서버 로그인에 필요한 전자서명 암호키, 서명키를 탈취한 경위와 관련해서도 의문이 남습니다.

쿠팡은 A 씨의 권한을 모두 말소했다고 주장했지만, 보안이 요구되는 서명키를 어떻게 퇴직 6개월 후에도 사용할 수 있었는지는 명쾌하게 밝히지 못했습니다.

이에 따라 A 씨가 퇴직 전 범행을 계획하며 미리 서명키를 복사해 빼돌렸거나, 다른 사람과 공모했을 가능성도 제기됩니다.

[홍준호 / 성신여대 융합보안학과 교수 : 이 사람이 암호화 키를 외부로 반출해서 복제했을 가능성으로 보여요. 탈취된 암호화키를 이용해서 위조된 인증 토큰을 생성해서….]

범행 동기부터 탈취 경위까지 미궁에 빠진 가운데, 쿠팡의 퇴직자 관리와 보안 체계 허점, 관리 부실 의혹에 대한 전반적인 ... (중략)

YTN 이현정 (leehj0311@ytn.co.kr)

▶ 기사 원문 : https://www.ytn.co.kr/_ln/0103_202512031810275562
▶ 제보 안내 : http://goo.gl/gEvsAL, 모바일앱, social@ytn.co.kr, #2424

▣ YTN 데일리모션 채널 구독 : http://goo.gl/oXJWJs

[ 한국 뉴스 채널 와이티엔 / Korea News Channel YTN ]