2일 국회 과학기술정보방송통신위원회(과방위) 현안질의에서 박대준 쿠팡 대표가 타오바오 등 중국 이커머스 사이트에서 쿠팡 계정이 판매된다는 논란과 관련해 "이번 정보망 침해 방식은 쿠팡 계정이나 로그인 정보를 이용한 형태가 아니다"고 밝혔다.
질의에 나선 김장겸 국민의힘 의원은 타오바오 등에서 쿠팡 계정이 23위안, 183위안에 판매된다는 사례를 제시하며 "로그인이 가능한 계정이 거래되는 수준이라면 로그인 정보가 유출된 것 아니냐"고 지적했다.
이에 박 대표는 "이번 해킹 과정에서 회사 계정이나 시스템 로그인 정보를 사용한 게 아니다"라며 "A의 방식이라면 쿠팡 서비스 이용자인 것처럼 접속하는 방식"이라고 설명했다.
브랫 매티스 쿠팡 글로벌보안 총괄은 "해당 사례는 구체적으로 알지 못한다"면서도 "다크웹에서는 이커머스 계정을 여러 방식으로 탈취하거나 위조 계정을 판매하는 경우가 있다. 클라이언트 쿠키 정보를 이용해 계정을 가져가는 방식도 있다"고 설명했다. 그러면서 "확인하겠지만 이번 사건과는 무관해 보인다"고 말했다.
김승주 고려대 교수는 "쿠팡 측은 아이디·인증토큰이 유출돼 거래된 게 아니라고 하지만, 내부자 관리가 느슨해 아이디·비밀번호가 유출됐다면 그런 시나리오도 가능하다"고 언급했다.
김장겸 의원은 "박 대표는 2차 피해가 없다고 했지만 김승주 교수 말대로라면 2차 피해 우려가 있는 것 아니냐"고 다시 질의했다.
박 대표는 "가능성을 부정하는 건 아니다"고 하면서도 "만약 로그인 계정이 실제 탈취됐다면 굳이 쿠팡 계정을 돈 주고 팔 이유가 있나 하는 의문이 든다"고 답했다.