고객정보 유출 사태 석달 전 쿠팡은 사이버 위기에 대한 모의 훈련을 하고 보고서까지 작성했던 걸로 JTBC 취재결과 확인됐습니다. 이 보고서에는 내부자 위협에 취약하단 지적이 있었는데 그 지적 그대로 퇴사한 개발자에게 정보를 털렸던 겁니다. 리스크를 알고도 뭉갰다면 책임이 더 커지는데 정부가 사실관계를 조사하고 있습니다.

임지수 기자입니다.

[기자]

쿠팡이 지난해 3월 글로벌 IT 컨설팅 업체와 진행한 사이버 위기 대응 모의 훈련 보고서입니다.

내부 시스템에서 개인 정보 등이 탈취된 상황을 가정해, 위기 대응 의사결정 과정 중심으로 평가했습니다.

쿠팡은 '내부자 위협' 시나리오에서 취약점을 드러냈습니다.

공격자가 내부자로부터 접근 권한을 제공받은 상황을 전제했을 때, 인사 또는 법무 파트와 조사를 체계적으로 수행할 수 있는 전담팀이나 문서화된 절차가 없다고 지적했습니다.

이번 사건은 내부자였던 개발자 범행이었고, 퇴사자 권한 관리 실패가 가장 큰 발단이었습니다.

[오기형/국회 과학기술정보방송통신위원 (2025년 12월 31일) : 2024년 말 (용의자) 퇴사 시점에 (서명키가) 탈취됐단 말씀이죠?]

[브랫 매티스/쿠팡 최고정보보안책임자 : 그가 퇴사하기 전에 탈취했고, 2024년 12월 퇴사했습니다.]

보안 사고가 의심될 때 사고 지휘권이 어디에 있는지, 보안팀이 언제 개입해야 하는지도 명확한 지침이 없어, 공격을 장기간 알아채지 못해 피해를 키울 수 있다 경고하기도 했습니다.

보고서 작성 3달 뒤 정보 탈취 범행은 시작됐고, 쿠팡은 용의자 협박 메일을 받을 때까지 5달 동안 알아채지 못했습니다.

[김승주/고려대 정보보호대학원 교수 : 밝혀진 여러 가지 쿠팡의 문제점들을 봤을 때 (보고서에서) 지적한 이런 내용들이 여전히 고쳐지지 않고 있다.]

민관합동조사단은 쿠팡이 취약점 인지 후 어떤 조치를 취했는지 확인 중입니다.

[김보라미/변호사 : 이런 부분(취약점)을 알면서도 그것이 방치되어 있었다면 과징금 판단에서 가중 사유로 평가될 수 있는 요소로 해석됩니다.]

쿠팡은 지난 3년치 자체 모의 해킹 결과라며 영업 비밀을 이유로 거의 모든 내용을 지운 문서를 국회에 제출하기도 했습니다.

쿠팡은 "해당 보고서는 자발적 훈련에 대한 권고사항이며, 개선 조치도 완료했다"는 입장이지만, 제대로 개선했다면 왜 뚫렸겠냐는 반론이 나옵니다.

https://n.news.naver.com/mnews/article/437/0000472431?sid=102