쿠팡은 저장된 계정은 한국·대만 합산 약 3000개 수준이며, 금융·결제 정보나 비밀번호 등 로그인 정보, 정부 발급 ID 접근 사례는 없었다고 밝혔다.
 |
쿠팡은 지난해 11월 29일 발생한 개인정보 유출 사건과 관련해 25일 글로벌 보안업체 맨디언트와 팔로알토 네트웍스 등을 선임해 진행한 포렌식 조사 결과를 발표했다. 이번 조사 결과는 쿠팡이 앞서 공개한 무단 접근 계정 수 약 3300만개 등 큰 틀의 내용과 동일하지만, 대만 계정 관련 정황이 추가로 확인됐다고 설명했다.
쿠팡에 따르면 전 직원이 무단 접근한 계정 가운데 약 20만개가 대만 소재 계정으로 파악됐다. 이 가운데 대만 계정 1개는 데이터가 실제로 저장된 것으로 확인됐으며, 대만 1건과 한국 계정을 포함해 저장된 전체 계정 수는 약 3000개라고 밝혔다.
무단 접근된 정보는 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 내역 등 연락처 및 주문 관련 정보에 한정됐다고 회사는 설명했다. 쿠팡은 금융 및 결제 데이터, 비밀번호 등 로그인 계정 정보, 정부 발급 ID는 지역과 무관하게 접근 사례가 단 한 건도 없었다고 강조했다. 한국 계정의 경우 공동현관 출입코드가 포함된 계정은 2609개로 확인됐다고 덧붙였다.
쿠팡은 전 직원이 사용한 모든 기기를 회수해 포렌식 분석을 완료했으며, 제3자에 의한 추가 열람이나 외부 유출 정황은 발견되지 않았다고 밝혔다. 다크웹·딥웹 모니터링 결과에서도 현재까지 데이터 악용 사례가 확인되지 않았다는 입장이다.
대만 계정 관련 사실은 대만 디지털부와 협력 조사 과정에서 확인됐다고 쿠팡은 설명했다. 쿠팡은 해당 부처의 감독 아래 조사가 이뤄졌으며, 고도 민감 정보 유출은 없었다고 강조했다.
쿠팡은 “현재까지 사고로 인한 데이터 악용 혹은 2차 피해가 확인된 사례는 없으나, 앞으로도 상황을 면밀하게 모니터링해 새로운 정보가 확인되는 대로 즉시 공유하겠다”며 “투명한 진실 규명과 쇄신을 위해 노력하겠다”고 밝혔다.
한편 정부는 이번 사건의 성격과 규모를 두고 쿠팡 발표와는 다른 조사 결과를 내놓은 상태다. 과학기술정보통신부 민관합동조사단은 지난 10일 조사 결과를 발표하고, 당초 쿠팡이 신고한 4536건을 크게 웃도는 3367만여 건의 이용자 정보 유출이 확인됐다고 밝혔다.
조사단에 따르면 ‘내 정보 수정’ 페이지에서는 성명과 이메일 주소 등 회원정보 3367만여 건이 유출된 것으로 파악됐다. ‘배송지 목록’ 페이지에서는 성명, 전화번호, 주소, 공동현관 비밀번호 등이 포함된 정보가 1억4805만여 회 무단 조회됐고, ‘주문 목록’ 페이지에서도 최근 주문 상품 정보가 10만여 회 조회된 것으로 집계됐다.
조사단은 사고 원인을 외부 해킹이 아니라 전직 직원에 의한 정보통신망 침해로 결론 내렸다. 재직 당시 관리하던 인증 서명 키를 악용해 퇴사 후 전자 출입증을 위·변조하고 시스템에 비정상적으로 접속했다는 것이다. 조사단은 또 전직 직원 저장장치에 남은 자료만 근거로 유출 규모를 축소 발표했다는 취지로 문제를 제기했으며, 정부의 자료 보전 명령 이후에도 웹·앱 접속 기록 일부가 삭제된 정황이 확인됐다며 수사기관에 수사를 의뢰했다고 밝혔다.
