.청주개인회생 쿠팡의 개인정보 유출은 단순히 개인정보가 밖으로 유출된 사고라 볼 수 없다. 쿠팡의 전 직원이 가입자 3370만 명의 개인정보 열람 권한을 복사해서 가지고 나갔다. 열람 권한을 들고 퇴사했기 때문에 얼마나 많은 사람에게 열람 권한을 열어줬는지 알 수 없다. 쿠팡이 주장하는 3000건은 열람 권한을 들고 퇴사한 전 직원의 노트북에 저장된 개인정보의 수일 뿐이다. 그야말로 빙산의 일각이다. 실제 유출 규모는 아직 알 수 없다.” 퇴사한 전 직원이 아닌 다른 사람도 쿠팡 가입자의 개인정보를 들여다볼 수 있나. “그렇다. 호텔에 빗대어 설명하면 이해가 쉬울 것이다. 쿠팡이 호텔이고 개인정보가 각 방에 들어간 손님이라고 가정해 보자. 문제의 전 직원이 들고 나간 것은 호텔의 마스터키다. 마스터키는 호텔 모든 객실의 열쇠를 만들 수 있다. 열쇠의 유효기한도 정할 수 있다. 본인이 직접 객실에 들어가지 않아도 다른 사람을 객실에 드나들게 할 수 있다는 의미다. 개인정보로 바꿔 얘기하면, 문제의 전 직원이 권한을 준다면 누구나 쿠팡 3370만 가입자의 개인정보를 열람할 수 있다.” 개인정보 보호 취약점, 쿠팡은 알고 있었을지도… 개인정보 열람을 허락할 수 있는 권한 유출을 사전에 막을 방법은 없었을까. “개인정보 열람 허가권 유출을 물리적으로 막는 장치는 있다. ‘하드웨어 보안 모듈(Hardware Security Module·HSM)’이나 ‘키 관리 시스템(Key Management Service·KMS)’이라 하는데, 특정 데이터를 복사하거나 유출하면 해당 데이터를 자동 파기하는 기능을 갖췄다. 쿠팡은 이를 쓰지 않았다는 점을 청문회에서 인정했다. 12월 31일 쿠팡 청문회에서 오기형 더불어민주당 의원이 브랫 매티스 쿠팡 최고정보보안책임자(CISO)에게 “HSM과 KMS를 사용하지 않은 것이 글로벌 스탠더드에 부합하는 것인가”라고 질문했고, 매티스 CISO는 “정보보안 방식은 글로벌 스탠더드에 부합했으나 개선의 여지가 있다는 것을 알게 됐다”며 쿠팡이 HSM과 KMS를 사용하지 않았다고 사실상 인정했다.”