쿠팡 개인정보 유출 사고 "외부 전송·2차 피해 없었다" 재확인

쿠팡이 민관합동조사단(조사단)의 조사 결과와 관련해 실제 데이터 외부 유출이나 2차 피해는 없었다는 기존 입장을 재확인했다.

10일 쿠팡에 따르면 이번 사고는 중국 국적의 전직 직원 1명이 단독으로 저지른 내부자 범행으로 해당 직원은 자동화 프로그램을 이용해 약 1억4000만회에 걸쳐 고객 데이터에 접근했으나 실제로 저장한 정보는 약 3000개 계정에 한정됐다는 설명이다. 

쿠팡은 이 과정에서 추가적인 제3자 열람이나 활용 정황은 확인되지 않았다고 밝혔다.

쿠팡은 "공격에 사용된 모든 기기를 회수해 포렌식 분석을 진행했고 확보된 증거가 약 3000개 계정의 정보만 저장한 뒤 모두 삭제했다는 전 직원의 선서 진술과 일치했다"고 설명했다. 해당 기기들은 지난해 12월23일부터 민관합동조사단과 개인정보보호위원회가 보유하고 있으며, 현재 기기 내에 한국 이용자의 개인정보가 남아 있지 않다는 포렌식 결과도 확보돼 있다는 설명이다.

유출 정보의 범위에 대해서도 "결제정보, 금융정보, 사용자 ID·비밀번호, 정부 발급 신분증 등 고도 민감 정보에는 접근하지 않았다"면서 "전 직원이 접근한 정보는 이름, 이메일, 전화번호, 배송지 주소, 제한적인 주문 내역, 일부 공동현관 출입 코드에 국한됐다"고 강조했다. 특히 공동현관 출입 코드가 포함된 계정은 2609건으로 이는 아카마이(Akamai) 보안 로그와 내부 분석을 통해 확인됐다.

쿠팡은 2차 피해 가능성에 대해서도 "독립 보안 전문기업과 다수의 외부 보안 업체를 통해 다크웹·딥웹·텔레그램·중국 메신저 등을 지속 모니터링한 결과 데이터 유출 시점부터 현재까지 2차 피해와 연관된 정황은 단 한 건도 확인되지 않았다"고 밝혔다.

이와 함께 경찰청 역시 지난해 12월5일, 쿠팡 유출 정보가 악용된 2차 피해 사례는 없다고 공식 발표한 바 있다.

쿠팡은 "페이지 조회 수는 개별 계정 정보를 수집하려는 시도의 결과일 뿐 실제 유출 규모를 의미하지는 않는다"며 "최종 유출 규모는 개인정보보호위원회가 확정할 사안"이라는 말했다.

그러면서 "이번 사고와 관련해 정부 조사에 전면 협조해 왔으며, 향후에도 재발 방지를 위한 보호 체계 강화와 투명한 정보 공개를 지속하겠다"면서 "국민은 진실을 알 권리가 있다"면서 사과했다.

조사단은 이날 지난해 11월29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3367만여 건이 유출된 것을 확인했다고 밝혔다.

조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐고 현재 재직 중인 쿠팡 개발자 노트북도 포렌식 조사했다. 배송지 목록 페이지에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억4천800만여 차례 조회해 정보가 유출된 것을 파악했다.

이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제삼자 정보도 다수 포함돼 있어 정보 유출 대상자 범위가 확대될 가능성이 있다. 조사단이 파악한 개인정보 유출 규모에는 쿠팡이 최근 추가로 밝힌 16만5000여 계정 유출 건은 포함되지 않은 것으로 전해졌다.