박대준 쿠팡 대표는 2일(한국시간) 대규모 정보 유출의 용의자로 지목된 전직 중국 직원과 관련, "인증업무를 한 직원이 아니라 인증 시스템을 개발하는 개발자였다"고 말했다.

박 대표는 이날 국회 과학기술정보방송통신위 현안 질의에서 퇴직 직원의 근무 역할과 이력에 대한 국민의힘 신성범 의원 질의에 이같이 답했다.

박 대표는 "혼자 일하는 개발자는 없다"면서 "여러 인원으로 구성된 개발팀이 여러 역할을 갖고 팀을 구성한다"고 설명했다.

그러면서 피의자 규모에 대해서는 "단수나 복수라고 단정할 수는 없다"면서 "수사 중이라 말할 수 없다"고 답했다.

이어 박 대표는 '유출과 노출 가운데 어느 게 맞느냐'는 질의에는 "유출이 맞다"고 밝혔다.

박 대표는 이번 사태로 과징금이 1조2천억원이 부과될 수도 있다는 더불어민주당 이훈기 의원의 지적에 "저희의 책임을 회피할 생각은 없다"고 말했다.

지난 4월 발생한 개인정보 유출 사고로 SK텔레콤은 역대 최고액인 1천347억9천만원의 과징금을 부과받았지만, 이번 사태를 두고 정치권 일각에서는 매출액을 기준으로 1조원대의 과징금을 부과해야 한다는 주장이 나오고 있다.

박 대표는 휴면·탈퇴 회원의 정보도 유출됐을 가능성과 관련, "일부 포함됐을 것이라고 생각한다"며 "그래서 휴면이나 탈퇴와 상관없이 개별적으로 다 안내를 드렸다"고 밝혔다.

박 대표는 공동 현관의 비밀번호 유출 가능성에 대해서도 "일부 포함된 것으로 알고 있다"고 답했다.

종합하면 신용카드와 비밀번호를 포함한 개인의 결제 관련 정보는 유출되지 않았으나, 배송 주소록에 기재한 경우 공동현관 비밀번호는 유출됐다는 것이다.

브랫 매티스 쿠팡 최고정보보안책임자(CISO)는 퇴직 직원의 범행 방법에 대해 "공격자라고 생각되는 사람은 훔친 서명키를 사용해서 다른 사용자인 것처럼 가장했다"며 "쿠팡 내부에 있는 프라이빗 서명키를 취득한 후 이 키를 인증해 가짜 토큰을 만든 것"이라고 설명했다.

예컨대 호텔의 객실 키를 발급하는 비밀번호를 내부 개발자가 탈취해 계속해서 객실 키를 발급하고 고객 정보를 빼돌렸다는 의미다.

매티스 CISO는 또 퇴직 직원이 해고 등에 앙심을 품고 범행했을 가능성에는 "동기를 마음대로 추정할 수 없고, 현재 경찰 조사가 진행 중"이라고 언급을 자제했다.

박 대표는 '김범석 쿠팡 의장이 사과할 의향은 없느냐' 데 대해서는 "제가 현재 이 사건에 대해 전체 책임을 지고 있다"면서 "한국 법인 대표로서 끝까지 책임을 지고 사태를 해결하도록 최선의 노력을 하겠다"고 말했다.

이어 박 대표는 2차 피해 가능성에는 "아직 2차 피해는 없는 것으로 안다"고 답했다.

<연합뉴스>