 |
대만 디지털발전부 산하 디지털산업서는 26일 공고를 통해 전날 법률·정보보안 전문가, 형사경찰국, 국가사이버보안연구원으로 구성된 조사팀이 쿠팡 대만법인을 상대로 행정 검사를 실시한 결과, 개인정보 관리 체계에서 결함이 발견됐다고 밝혔다.
당국은 "개인정보보호법과 디지털경제 관련 산업 개인정보 파일 안전 보호 관리 방법 등 관련 규정에 따라 포렌식 분석과 추가 조사를 지속할 것"이라며 "조사 결과에 따라 법정 절차에 따른 후속 처분을 진행하겠다"고 강조했다.
조사에 따르면 쿠팡 한국법인 퇴직자인 공격자는 2000여개의 서로 다른 IP 주소를 이용해 쿠팡 대만 사용자 20만4552명의 개인정보에 접근한 것으로 파악됐다. 유출 대상에는 이름, 이메일, 전화번호, 배송 주소, 일부 주문 내역 등이 포함됐다.
특히 대만 당국은 쿠팡이 그동안 한국과 대만의 사용자 데이터베이스(DB)가 분리돼 있다고 설명해왔으나, 실제 조사 과정에서 서로 다른 DB의 백업키가 동일해 접근이 가능했다는 점이 확인됐다고 밝혔다.
대만 정부는 지난해 11월 개인정보 유출 사건 발생 직후 쿠팡 측에 설명을 요구하고 대만 사용자 피해 여부를 확인했다. 당시 쿠팡은 공개 성명을 통해 대만 소비자 개인정보 유출 증거는 발견되지 않았다고 밝힌 바 있다.
이후에도 당국은 지난해 12월 24일 현장 행정 검사를 실시했다. 하지만 쿠팡은 보안업체가 조사 중이며 대만 사용자 피해를 입증할 증거는 없다는 입장을 반복했다. 이러한 설명은 올해 1월12일과 26일, 이달 9일까지도 유지됐다고 대만 측은 전했다.
그러나 한국 정부가 이달 10일 발표한 조사 결과에는 공격자가 지난해 11월 쿠팡 한국법인에 보낸 이메일에서 한국·일본·대만 사용자 모두 유출 영향 대상이라고 언급한 사실이 포함됐다. 쿠팡 대만법인이 대만 당국에 유출 사실을 공식 통보한 것은 그로부터 약 열흘 뒤인이달 23일이었다.
앞서 쿠팡의 모회사 쿠팡Inc는 25일 전 직원이 무단 접근한 계정 중 약 20만개가 대만 소재 계정으로 확인됐다고 밝혔다. 이에 따라 대만 고객 정보 유출 사실이 뒤늦게 드러났다. 대만 디지털산업서는 행정 검사와 법적 조치를 예고했다.
유현석 기자 guspower@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
