쿠팡(Coupang)은 최근 대규모 개인정보 유출 사태의 책임을 지고 박대준 대표가 사임했다고 10일 밝혔다.

쿠팡 측에 따르면, "박대준 대표는 최근의 개인정보 사태에 대해 국민께 실망하게 한 점에 대해 매우 송구스럽게 생각한다”며 “이번 사태의 발생과 수습 과정에서의 책임을 통감하고 모든 직위에서 물러나기로 했다”고 밝혔다.

쿠팡 한국 대표가 사임 뜻을 밝힌 건 사고를 발표한지 20여일 만이다. 쿠팡은 초기 해킹으로 비정상 접속이 시작된 것은 최소 6월 중순부터 시작된 것으로 파악됐다. 하지만 쿠팡 측은 이를 뒤늦게 인지하고, 11월 18일에야 최초로 사과의 뜻을 밝혔다.

쿠팡의 초기 해킹으로 인한 개인정보 유출 사과에서 피해 규모는 4500건이라고 밝혔다. 하지만 개인정보보호위원회와 한국인터넷진흥원 등 관계 기관의 조사가 시작된 이후 유출 규모를 약 3370만개 계정이라고 번복하기도 했다. 유출 정보는 △이름 △이메일 △배송지 주소록(수령인 이름, 전화번호, 주소) △일부 주문 정보 등이다.

이번 사고의 원인은 전문 해킹 그룹의 소행이 아닌 내부자, 퇴사한 내부자의 범행으로 확인됐다. 개인정보 유출 혐의를 받는 전직 쿠팡 직원은 재직 당시 내부 전산망 인증 관련 업무를 담당했던 중국인으로 파악됐다. 이 담당자는 퇴사 이후 중국으로 출국한 것으로 알려졌다.

또 이번 사고를 통해 액세스 토큰 서명키의 유효 기간을 5~10년의 장기로 설정했으며, 갱신이나 폐기를 하지 않았던 것으로 드러났다. 이 같은 관리 소홀이 해킹으로 대규모 피해까지 이어졌다.

쿠팡은 한국인터넷진흥원으로부터 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 인증을 받았음에도 내부 통제 부실로 사고가 발생했다. 또 비정상 접속이 있었음에도 IP 교란으로 인해 이를 정상 접속으로 오인해 체크하지 못한 점도 피해를 더 키우는 불쏘시개 역할을 했다. 10일 박대준 쿠팡 대표의 사임은 이번 사태가 걷잡을 수 없이 커지면서 사실상 경질된 것으로 풀이되고 있다.

쿠팡의 모회사인 미국 쿠팡 Inc.는 이번 사태를 적극적으로 수습하고, 고객들의 불안감을 해소하기 위해 나섰다. 우선 박 대표의 후임으로 해롤드 로저스(Harold Rogers) 쿠팡 Inc. 최고관리책임자 겸 법무총괄을 쿠팡의 임시 대표로 선임했다.

로저스 임시 대표는 개인정보 유출 사태에 따른 고객 불안을 해소하고, 대내외적인 위기를 수습하는 한편 조직 안정화에 주력할 방침이다. 쿠팡은 개인정보 유출 사태 발생 이후 주로 한국법인을 통해 대응해 왔으나 이번 대표 교체로 미국 법인이 사태 수습에 적극적으로 나서게 될 것으로 전망된다.

쿠팡 측은 “개인정보 유출 사태로 심려를 끼쳐드린 점에 대해 깊이 사과드린다”며 “재발 방지를 위해 정보보안을 강화하고 신뢰 회복에 최선을 다할 것”이라고 말했다.

한편 국회 과학기술정보방송통신위원회(과방위)는 9일 전체회의를 열고 오는 17일 쿠팡 개인정보 유출 사태 관련 청문회를 개최하는 것을 내용으로 한 ‘쿠팡 침해 사고 관련 청문회 실시계획서’를 의결했다. 이번 청문회에는 쿠팡 창업주인 김범석 의장을 증인으로 채택했다. 김 의장의 출석 여부가 이번 청문회의 최대 쟁점이 될 것으로 보인다. 이번 청문회의 증인으로는 김범석 쿠팡 Inc. 의장, 박대준 쿠팡 전 대표, 강한승 전 대표(현 북미사업개발 총괄), 브렛 매티스 정보보호최고책임자(CISO), 민병기·조용우 부사장 등 총 9명이다.

경찰은 어제부터 서울 송파구에 있는 쿠팡 본사에 대한 전면적인 압수수색에 들어갔다. 9일에는 첫 압수수색이 약 10시간에 걸쳐 진행됐으며, 오늘도 2차 압수수색을 통해 추가 자료 확보를 시도하고 있는 것으로 알려졌다.