쿠팡의 대규모 개인정보 유출을 일으킨 범인으로 중국인 전 직원이 제기되면서 "쿠팡이 해외 직원을 통제하지 못했다"는 비판이 제기되고 있다.
1일 유통업계에 따르면 작년 말 기준 쿠팡에서 물류 직원을 제외한 사무직·개발직 등 내근 인원은 약 1만 명으로 추산된다. 이 가운데 외국인 임직원은 10%인 1000여 명 내외로 알려졌다. 쿠팡은 서울·판교를 비롯해 미국(마운틴뷰·시애틀·워싱턴DC)과 중국(베이징·선전·상하이), 인도(벵갈루루), 대만(타이베이), 싱가포르 등 10여 개 도시에서 인력을 운용하고 있다.
그러나 이들 외국인 직원들에 대한 부적절한 통제와 안이한 보안 정책 문제가 엮이면서 이번 사고가 났다는 지적이 나오고 있다. 최민희 더불어민주당 의원실이 쿠팡으로부터 제출받은 자료에 따르면 쿠팡은 로그인에 사용되는 '토큰 서명키' 유효인증기간을 5~10년 가량 설정한 사례가 다수였던 것으로 나타났다.
토큰 서명키는 로그인에 사용되는 일회용 출입증에 해당해 자주 갱신해야 하지만 실제론 방치된 일이 많았다는 것이다. 이를 악용한 중국인 전 직원이 이번 대규모 정보유출을 일으켰다는 게 업계의 추측이다.
최민희 의원은 "서명키 갱신은 가장 기본적인 내부 보안 절차임에도 쿠팡은 이를 지키지 않았다"며 "인증체계를 방치한 쿠팡의 조직적·구조적 문제의 결과"라고 했다.
쿠팡 내부에서도 외국인 직원에 대한 불만이 쌓여가고 있다. 쿠팡은 그동안 개발 역량 강화를 위해 중국, 인도에서 인원을 다수 채용해 한국에서 운용해왔다. 특히 L7급(팀장·디렉터급) 인원은 절반 이상이 인도인, 중국인이라는 게 업계 관계자들의 전언이다. 사내 커뮤니티인 블라인드 등에서는 "인도인, 중국인 직원들이 문제가 생기면 나몰라라 한다"거나 "무분별하게 외국인 직원을 늘리면서 정작 한국 개발자들은 뒷전이 됐다"는 쿠팡 직원들의 불만이 잇달아 올라오고 있다.
배태웅 기자 btu104@hankyung.com