해롤드 로저스 쿠팡 임시 대표는 17일 개인정보 유출 사건과 관련해 피의자로 지목된 전직 직원에 대해 "퇴사 당시 모든 접근 권한을 회수했지만, 해당 인물이 정보를 빼돌려 결국 한국 국민들에게 피해가 발생했다"고 밝혔다.
로저스 대표는 이날 국회 과학기술정보방송통신위원회 청문회에 출석해 "현재 경찰과 긴밀히 공조하며 신병 확보를 추진하고 있고, 합당한 처벌이 이뤄지도록 최선을 다하고 있다"고 말했다. 이어 "사건 인지 직후 서명 키를 즉시 완전히 폐기해 추가적인 활동이 불가능하도록 조치했다"고 덧붙였다.
이와 관련해 브렛 매티스 쿠팡 정보보호최고책임자(CISO)는 "해당 직원은 재직 중 자신에게 부여된 키를 무단으로 탈취한 것"이라며 "퇴사와 동시에 시스템 접근은 모두 차단됐지만, 이미 탈취한 키를 이용해 접근 토큰을 생성했다"고 설명했다. 이어 "이를 통해 본인이 고객인 것처럼 위장해 개인정보에 접근할 수 있었던 것"이라고 덧붙였다.
한편, 쿠팡Inc는 16일(현지 시각) '항목 1.05. 중대한 사이버 보안 사고'를 제목으로 한 8-K 보고서를 미국 증권거래위원회(SEC)에 제출했다. 8-K는 기업에 중대한 변화가 발생했을 때 투자자와 이해관계자에게 신속히 알리는 공시다.
SEC 규정에 따르면 중대한 사이버 보안사고가 발생했을 경우 4영업일 안에 공시를 해야 한다. 로저스 대표는 이번 사고를 즉시 보고하지 않은 것이 규정 위반이라는 지적에 대해 "미국 개인정보 보호 관련 법체계상, 현재 유출된 정보 유형은 신고 의무 대상에 해당하지 않는다"고 해명했다.
그러면서 "미국법 기준으로는 공시 의무가 없었지만, 사안이 지속적으로 주목받고 있는 점을 고려해 이날 SEC에 관련 내용을 공식 공시했다"고 밝혔다.