|
신성범 국민의힘 의원이 퇴사 직원의 근무 역할과 권한을 묻자, 박 대표는 "혼자 일하는 개발자는 없고 여러 인원으로 구성된 개발팀에서 다양한 역할을 맡아 일했다"며 "퇴직 후 권한은 말소된 상태였다"고 답했다.
이번 사태의 원인으로 지적된 내부 개발자의 인증키 관리 부실과 퇴사자 권한 유지 의혹을 부인한 것으로 해석된다.
노종면 더불어민주당 의원이 "공격자가 단수인지 복수인지"를 묻자, 박 대표는 "현재 단계에서는 단수라고도, 복수라고도 특정하기 어렵다"고 답했다.
브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 지난 6월부터 유출이 있었지만 이를 인지하지 못했고, 지난달 16일 고객의 VOC(불만 접수)를 통해 사실을 알게 됐다고 밝혔다. 그는 약 200명 규모의 보안팀 '디지털 트러스트'를 이끌고 있다.
유출 범위에 대해서는 "공격자가 일부 API에만 접근했으며, 다른 API나 시스템에 접근한 증거는 찾지 못했다"고 말했다.
매티스 CISO는 재발 방지 대책을 약속했다. 그는 "이번 조사가 완료되면 한국인터넷진흥원·개인정보보호위원회·과학기술정보통신부와 협력해 보안 체계를 대폭 강화하겠다"고 밝혔다.
이정헌 더불어민주당 의원은 "용의자가 지난해 12월 퇴직한 것으로 파악하고 있다"며 "퇴사 후 6개월 뒤에 처음 흔적이 남았다면, 그 이전에도 얼마든지 더 많은 개인정보가 빠져나갔을 가능성이 있지 않느냐"고 추궁했다. 박 대표는 "그 부분은 아직 발견하지 못했지만 가능성은 있다"고 답했다.
참고인으로 출석한 김승주 고려대 교수는 "해당 직원이 개발 권한과 접근권을 가지고 있었다면 퇴직 전 근무 중에도 개인정보를 침탈해 갔을 가능성이 있다"고 지적했다.
또한 이 교수는 "근무 중에 결제정보, 신용카드 정보, 고객 로그인 정보 등 더 민감한 정보를 이미 빼갔을 가능성도 있다"며 "아직 흔적이 발견되지 않았을 뿐"이라고 우려했다.
