쿠팡의 대규모 개인정보 유출 사태를 놓고 계정 탈취 가능성이 언급됐다. 정부 조사 과정에서 현재 알려진 것보다 피해 범위가 더 넓은 것으로 확인되는 등 최악의 경우 이용자 계정 탈취까지 가능하다는 설명이다.

김승주 고려대학교 정보보호대학원 교수는 17일국회 과학기술정보방송통신위원회 '쿠팡 침해사고 관련 청문회'에 참고인으로 출석해 이 같은 가능성을 짚었다.

이날 청문회에서 김장겸 국민의힘 의원은쿠팡 이용자 계정이 중국 온라인 쇼핑몰에서 1개당 320위안(약 6만 5000원)에 거래된다고 지적했다. 또 구매 계정으로 실제 로그인까지 하는 과정을 영상으로 시현했다.

김 의원은 브랫 매티스 쿠팡 최고정보보안책임자(CISO)에게 "(영상 속) 해당 계정이 실제 유효한 한국인 계정이었다"며 "이용자 계정하고 개인정보가 결합된 2차 피해로 보이는데 이번 사건과 무관하다는 입장이냐"고 물었다.

이에 매티스 CISO는 "이번에 발생한 데이터 유출 사고와 관련이 없다고 생각한다. 이번 사건에서 자격 증명 정보나 결제 정보에 접근한 것을 확인하지 못 했다"며 "이런 해킹은 쿠팡뿐만 아니라 네이버를 비롯한 전 세계 이커머스 기업들이 겪고 있는 문제"라고 선을 그었다.

쿠팡 측의 답변을 놓고 김 교수는 "쿠팡 퇴직자가 유출한 정보로는 저 행위를 할 수 없다는 얘기인데,쿠팡의 피해 범위 자체가 특정되지 않았기 때문에 민관합동조사단을 통해서 피해 범위가 더 늘어나면 지금 보여 준 화면 속 상황도 가능할 수 있다"고 말했다.

Ktiger@news1.kr