[단독] 재택근무의 함정…쿠팡 前 직원 "퇴사 후 슬랙계정 살아있다"

3370만명의 고객 개인정보가 유출된 쿠팡은 직원이 퇴사 이후에도 사내 메신저 계정으로 회사 정보를 열람했다는 주장이 나왔다. 박대준 쿠팡 대표가 "퇴직자 권한은 즉시 말소된다"고 밝힌 것과 정면으로 배치된다.

3일 본지 취재를 종합하면 퇴직한 쿠팡 직원들은 회사를 그만 둔 이후 수개월간 사내 메신저 슬랙(Slack) 계정을 통해 회의 내용과 업무 대화 등을 확인했다. 쿠팡은 원격근무가 활발한 탓에 슬랙을 통해 업무가 진행됐는데, 퇴사 이후 해당 계정이 살아있어 동료들의 대화 내용을 볼수 있었다는 이야기다. 쿠팡 전 직원은 "내부적으로 보안에 허술한 부분이 있었다"면서 "일부 계약직 직원은 슬랙 계정이 퇴사 후에도 상당 기간 살아 있어 업무 채팅방에 접속해 회사 채팅을 확인했다"고 말했다.

중국 국적의 쿠팡 보안인증 개발자는 지난해 12월 퇴사한 뒤 올해 6월24일부터 11월8일까지 쿠팡에서 3370만개 계정의 개인정보를 빼돌려 기본적인 '퇴사자의 내부 계정 비활성화' 절차조차 지키지 않았다는 비판이 나왔다.

이에 박 대표는 전날 국회 과학기술정보방송통신위원회(과방위) 긴급 현안 질의에서 "퇴직자 권한은 즉시 말소된다"고 해명했다. 쿠팡은 해당 개발자가 회사 계정이나 권한으로 접근한 것이 아니라, 근무 기간 중 핵심 서명키를 유출한 뒤 고객 정보를 빼낸 것으로 보고 있다.

하지만 쿠팡은 퇴사 직원의 슬랙 계정이 실제 장기간 유지됐던 점을 고려하면, 공격자가 퇴사 이후에도 내부 보안시스템에 대한 접근 단서를 얻었을 가능성이 제기된다.

쿠팡은 재택근무 인력이 많은 만큼 온라인 기반 접근 통제를 강화해야 하지만, 기본 보안 절차를 지키지 않았다는 지적도 나온다. 쿠팡은 고객이 로그인을 할 때 일종의 '출입 카드(토큰)'를 발급하는데, 이 때 '회사 도장'(서명키)로 확인한다. 공격자는 이 도장을 활용해 외부에서 가짜 키(토큰)를 찍어내 고객 계정에 접근했다. 브랫 매티스 쿠팡 최고정보보호책임자(CISO)도 이 자리에서 "공격자가 각기 다른 소스의 IP 주소를 활용해 데이터를 빼낸 것으로 보인다"며 "저희 시스템상 임계치를 넘지 않아서 발각되지 않은 것 같다"고 주장했다.

쿠팡은 사용자의 접속 패턴·시간·IP·기기 변화 등을 실시간 분석해 이상 행위를 탐지하는 보안 시스템인 '이상거래탐지시스템(FDS)'을 갖추고 있지만, 이같은 비정상 접속과 대량 토큰 생성 같은 기본적인 이상징후조차 걸러내지 못한 것이다. 김승주 고려대 정보보호대학원 교수 "FDS가 제대로 작동했다면 내부자가 전자서명 키에 접속해서 인증 토큰을 대량으로 생산해 내는 것들을 사전에 막을 수 있었을 것"이라며 "이상징후 탐지시스템이 전반적으로 좀 약했다고 생각한다"고 설명했다.

일반적인 해킹과 달리 내부자 관리 부실에 따른 고객 계정 유출로 인해 2차 피해 우려도 커지고 있다. 김장겸 국민의힘 의원은 전날 현안질의서 "이번에 침해한 방식은 회사 계정을 이용한 것이 아니라 쿠팡 서비스 이용자처럼 접근한 만큼 아이디와 비밀번호까지 유출됐을 경우 네이버나 다른 이커머스 계정까지 접속할 수 있는 것이 아니냐"고 지적했고, 김 교수는 "쿠팡 내부자 관리 제대로 안되 아이디 비번까지 유출될 경우 저런 시나리오도 가능하다"고 했다.