브랫 매티스 쿠팡 CSIO(정보보안 최고책임자)는 2일 타오바오몰 등 중국 이커머스(전자 상거래) 사이트에서 쿠팡 계정이 판매된다는 논란에 대해 "(해당 지적과 관련된 사례도) 확인하겠지만, 이번 사태와는 무관해보인다"고 밝혔다.
매티스 CSIO는 이날 국회 과학기술정보방송통신위원회(이하 과방위) 현안 질의에서 "해당 사례는 구체적으로 알지 못한다. 다만 다크웹에서는 이커머스 계정을 여러 방식으로 탈취하거나 위조 계정을 판매하는 경우가 있다. 클라이언트(고객) 쿠키 정보를 이용해 계정을 가져가기도 한다"며 이같이 말했다. 김장겸 국민의힘 의원이 중국의 타오바오몰 등에서 쿠팡 계정이 23위안·183위안에 판매되고 있다고 지적하자 이를 해명한 것이다.
박대준 쿠팡 대표도 김 의원이 제시한 사례와 관련해 "이번 정보망 침해 방식은 쿠팡 계정이나 로그인 정보를 이용한 행태가 아니다"라며 "쿠팡 서비스 이용자인 것처럼 접속하는 방식"이라고 했다.
이에 김 의원이 질의 현장에 참석한 김승주 고려대 정보보호대학원 교수에게 "저들의 답변이 맞는가"라고 확인하자, 김 교수는 "쿠팡 측은 아이디·인증 토큰이 유출돼 거래된 게 아니라고 하지만, 내부자 관리가 느슨해 아이디·비밀번호가 유출됐다면 (의원이 제시한) 사례와 같은 시나리오도 가능하다"고 했다.
그러자 김 의원은 "박 대표는 2차 피해가 없었다고 했지만, 김 교수 말대로라면 2차 피해 우려가 있는 것 아닌가"라고 질의했다. 박 대표는 "(2차 피해) 가능성을 부정하는 건 아니다"라면서도 "만약 로그인 계정이 실제 탈취됐다면 굳이 이를 팔 이유가 있는지 의문이 든다"고 답했다.