쿠팡의 개인정보 유출 사고와 관련 "2차 피해는 없었다"는 쿠팡의 주장이 정부 조사를 통해 확인됐다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장은 10일 '쿠팡 침해사고 민관합동조사단 조사 결과 브리핑'에서 "현재까지 2차 피해를 다크웹 등에서 확인하지 못했다"며 "결제 정보 유출은 조사한 사항으로는 없는 것으로 파악됐다"고 말했다.

이는 앞서 쿠팡이 발표한 입장문과 동일한 내용이다. 쿠팡은 사고 발생 후 이름·이메일·전화번호·주소·일부 공동현관 출입번호 등이 유출 정보에 포함됐다고 밝혔지만, 결제나 통관 번호 등은 없었다고 밝혔다.

개인정보 유출은 유출 자체도 소비자 피해로 이어질 수 있지만, 직접적으로 금전적 손해가 발생하는 결제 정보 유출 여부는 더욱 중요하다. 이번 조사에서 정부도 결제 정보 유출 정황이 없음을 확인한 것이다.

다크웹은 특수 브라우저를 통해서만 접근 가능한 인터넷 영역으로, 주로 범죄 거래에 활용되는 것으로 알려져 있다. 정부 조사단은 다크웹에서 이번 사고로 유출된 개인정보의 매매 정황을 확인하지 못했으며, 이에 따라 2차 피해 가능성이 낮다고 판단했다.


中서 접속 여부 말 아껴…"개보위 발표 기다려달라"
유출 규모와 관련해서도 쿠팡의 자체 조사 발표와 정부 조사단의 평가에서 차이가 있던 것도 '유출'의 개념을 어떻게 보는지 따라 차이가 있었다.

쿠팡은 유출한 전 직원이 3350만여개 계정에 접근해 3000개 계정을 저장했다고 밝혔다. 이는 실제 개인정보를 저장한 건수만을 유출로 본 것이다. 이후 쿠팡은 16만5000여건의 추가 유출을 확인해 개인정보보호위원회에 신고했다. 반면 조사단은 유출한 전 직원이 3367만건 계정을 들여다본 것 모두 유출로 평가했다.

조사단은 중국인으로 알려진 해당 전 직원에 대한 조사 여부, 중국 IP의 접속이 이뤄졌는지 여부에는 "수사와 관련된 사항이라 경찰에 문의해달라"고 말을 아꼈다. 국정원 지시 여부에 관한 질문에도 "국정원에 문의해달라"고 답했다.

한 업계 관계자는 "'2차 피해' 증거를 찾지 못했다는 쿠팡의 조사가 결과적으로 신빙성이 높아진 결과"라고 평가했다.

최 실장은 "향후 유출 규모에 대해서는 개인정보보호위원회에서 확정해 발표할 예정"이라며 "과거에도 개보위가 최종적으로 과징금을 산출한 바 있어 개보위 발표를 기다려달라"고 말했다.

hjin@news1.kr