"퇴사 시 권한 회수했지만 범행 발생…SEC에는 법적 의무 없어도 공시"
[서울=뉴스핌] 조민교 기자 = 해럴드 로저스 쿠팡 대표이사는 17일 국회 과학기술정보방송통신위원회에서 열린 개인정보 유출 사고 청문회에서 "개인정보 유출 피의자로 지목된 전직 직원은 재직 중 탈취한 키를 이용해 범행을 저질렀다"며 "현재 경찰과 긴밀히 협력해 신병 확보와 적절한 처벌이 이뤄지도록 최선을 다하고 있다"고 밝혔다.
로저스 대표는 "해당 직원은 퇴사 당시 모든 시스템 접근 권한이 회수됐지만, 재직 중 탈취한 키를 사용해 이후 접근 토큰을 생성했고 고객으로 사칭해 개인정보에 접근했다"며 "그 결과 한국 국민들에게 피해를 주는 상황에 이르렀다"고 설명했다.
쿠팡은 사건 인지 직후 기술적 조치를 취했다고 강조했다. 브렛 매티스 쿠팡 정보보호최고책임자(CISO)는 "사건이 발발하자마자 서명 키를 완전히 폐기해 추가적인 활동이 불가능하도록 조치했다"며 "한국 규제기관과 긴밀히 협력하고 있으며, 외부 사이버 보안 전문가들과 함께 통제 체계를 재점검하고 있다"고 말했다. 이어 "이번 사건을 계기로 보안 체계를 전반적으로 개선해 나가겠다"고 덧붙였다.
로저스 대표는 이번 사고를 미국 증권거래위원회(SEC)에 즉시 공시하지 않았다는 지적에 대해서는 "미국 개인정보법상 이번 유출 데이터 유형은 공시 의무 대상에 해당하지 않는다"고 설명했다. 다만 "사안에 대한 관심이 지속되고 있는 점을 고려해 이날 SEC에 관련 내용을 공시했다"고 밝혔다.
mkyo@newspim.com
