쿠팡의 3천3백70만 건 개인정보 유출에 악용된 보안 키가, 피의자로 지목된 중국 국적 전직 쿠팡 직원의 퇴사 이후 열 달 동안 방치된 것으로 드러났습니다.

MBC가 쿠팡이 국회 과학기술방송통신위원회 김우영 의원실에 제출한 자료를 확인한 결과, 쿠팡 측은 "본 건에서 문제 된 키는 2024년 4월 이후 생성됐으며, 2025년 11월 19일 회수돼 현재 유효하지 않다"고 밝혔습니다.

또, 용의자로 지목된 중국 국적 직원은 이커머스 인증 관련 업무를 한 개발자로, 지난 2022년 11월 16일 입사해 지난 1월 1일 퇴사했다고 쿠팡은 설명했습니다.

퇴사 열 달이 넘도록 유효 인증키가 장기간 방치됐다는 사실이 드러난 겁니다.

특히, 보안 키가 회수된 지난달 19일은 쿠팡 회원 박찬희 씨가 최초 개인정보 유출을 신고한 지 사흘이 지난 시점입니다.

쿠팡은 "혐의자에 대한 업무 시스템 접근권한 등은 마지막 근무일, 그러니까 지난 1월 1일을 기준으로 모두 회수됐다"고 밝혔습니다.

퇴사와 함께 권한을 모두 회수했다는 쿠팡 측 답변과, 인증키 회수 시점이 상충한다는 지적이 나오는 대목입니다.

더불어민주당 과학기술정보방송통신위원회 김우영 의원은 "퇴사 후 10개월이 넘도록 만능열쇠가 살아있었다는 사실은 '권한을 즉시 회수했다'는 쿠팡 측 해명과 명백히 상충된다"며 "단순 실수가 아닌 보안 관리 체계가 근본적으로 작동하지 않았다는 걸 보여주는 결정적 증거"라고 말했습니다.