[이데일리 김지우 기자] 쿠팡이 민관합동조사단의 개인정보 유출 사건 조사 결과 발표에 대해 “유출자가 저장한 데이터는 약 3000건이었고, 데이터 부정 사용 사례는 없었다”고 주장했다.

과학기술정보통신부는 이날 쿠팡 전 직원이 유출한 개인정보 규모가 3300만건 이상, 범인이 들여다본 배송지 주소 등의 정보가 1억 5000만건에 이른다고 발표했는데, 이와 다른 입장이다.

쿠팡은 10일 설명자료를 통해 “지난해 중국 국적의 전(前) 직원이 3300만 개 이상의 고객 계정이 포함된 데이터에 부적절하게 접근해 약 3000개 계정의 정보를 저장했다”며 “국내에서 거주하던 해당 직원은 스스로 작성한 소프트웨어 프로그램으로 약 1억 4000만회의 자동조회를 수행했다. 해당 데이터가 추가로 제3자에 의해 열람되거나 활용된 정황은 없다”고 강조했다.

쿠팡에 따르면 약 3300만명의 사용자 데이터에 접근했지만, 그 중 2609건에서 공용현관 출입 코드가 포함됐다. 쿠팡은 “유출자인 전 직원은 약 3000건의 사용자 데이터를 저장했으며, 데이터 부정 사용 사례는 없었다”고 재차 강조했다.

이어 쿠팡은 “조사가 진행된 지난 두 달간, 다음과 같은 사실 관계와 포렌식 분석 결과를 규제 당국과 공유해 왔다”며 “대한민국 고객 여러분께서도 아셔야 할 내용”이라고 덧붙였다.

쿠팡은 “전 직원이 공격에 사용한 기기는 모두 회수됐으며, 확보된 포렌식 증거 전체는 약 3000개 계정의 데이터만을 저장한 뒤 이를 모두 삭제했다는 그의 선서 자백 진술과 일치한다”고 강조했다. 그러면서 “지난해 12월 23일 이후, 민관합동조사단과 개인정보보호위원회 등 규제 당국은 해당 전 직원의 공격과 관련해 회수된 모든 기기를 보유하고 있다”고 덧붙였다. 아울러 민관합동조사단과 개인정보보호위원회는 회수된 기기 내에 한국 이용자의 개인정보가 저장되어 있지 않음을 확인하는 포렌식 분석 결과도 보유하고 있다는 게 쿠팡의 설명이다.

쿠팡은 “전 직원은 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보 (Highly Sensitive Customer Information)에 접근하지 않았다”고 했다. 해당 전 직원이 접근한 고객 정보는 고객의 이름, 이메일 주소, 전화번호, 배송지 주소, 제한적인 주문 내역 및 제한적인 수의 공용현관 출입 코드가 포함돼 있었지만, 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 민감 고객 정보에는 접근하지 않았다는 것이다.

쿠팡은 “이러한 사실은 클라우드 플랫폼 제공 업체인 아카마이(Akamai)의 보안 로그를 통해 검증됐으며, 해당 로그는 지난해 12월 8일 민관합동조사단과 개인정보보호위원회에 전달됐다”고 설명했다.

또 쿠팡은 전 직원이 접근한 계정 정보 중 공용현관 출입 코드가 포함된 사례는 2609건이고, 이는 아카마이 보안 로그와 사용자 데이터 분석을 통해 확인됐다고 설명했다. 그러면서 쿠팡은 “해당 분석 결과를 지난해 12월 23일 개인정보보호위원회와 민관합동조사단에 공유했다”고 밝혔다.

이날 민관합동조사단이 보고서에 해당 전 직원이 공용현관 출입 코드에 대해 5만건의 조회를 수행했다고 기재한 것에 대해서도 반박했다. 쿠팡은 “해당 조회가 실제로는 단 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과는 누락하고 있다”고 했다.

또한 쿠팡은 개인정보 사고로 인한 2차 피해의 어떤 증거도 확인되지 않았다는 점도 강조했다. 쿠팡은 “독립 보안 전문 기업 CNS의 최신 분석에 따른 것”이라며 “다수의 독립 인터넷 보안 전문 업체가 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등을 지속적으로 모니터링해 그 결과를 주간 단위로 쿠팡에 전달하고 있다”고 밝혔다. 데이터 유출 발생 시점부터 현재까지, 이들 모니터링 결과에서 2차 피해와 연관된 다크웹 활동은 단 한 건도 확인되지 않았다는 설명이다.

쿠팡은 조사 과정 전반에 걸쳐 대한민국 정부에 관련 분석 결과를 제공해 왔고 앞으로도 지속적으로 모니터링하며 업데이트를 제공할 예정이다.



쿠팡은 정부가 조사 과정에서 발견한 사실과 달리 국회 청문회에서 말을 바꾼 점도 지적했다. 지난해 12월 5일 대한민국 경찰청 수사본부는 모니터링 결과를 토대로, “배송지 정보, 주문 정보 등 쿠팡에서 유출된 정보 유형이 악용된 2차 피해 관련 의심 사례는 확인되지 않았다”고 발표했다.

경찰청이 SMS 피싱, 보이스피싱 및 기타 사이버 사기 신고 약 2만 2000건에 대한 정밀 분석, 주거 침입, 강도, 스토킹 등 관련 범죄를 포함한 약 11만 6000건의 강력 범죄 전수 점검을 실시한 결과, 배송지 정보와 주문정보 등 쿠팡에서 유출된 정보 유형이 악용된 것으로 의심되는 2차 피해 사례는 없다고 확인해 밝힌 것이라는 게 쿠팡의 주장이다.

하지만 이후 쿠팡 관련 국회 청문회를 앞둔 지난해 12월 15일, 경찰은 “현 단계에서는 2차 피해 발생 여부를 단정하기 어렵다”라고 발표했다고 강조했다. 쿠팡은 “해당 발언 이후 약 두 달이 지난 현재까지도, 경찰이 확인하여 발표한 2차 피해 사례는 없다”고 말했다.

또 쿠팡은 “고객 데이터 보호와 투명한 정보 공개에 대한 약속을 변함없이 지켜나가고 있다”며 “앞으로도 정부의 조사에 전면 협조하고, 추가 피해를 막기 위한 필요한 모든 조치를 취하며, 재발 방지를 위한 보호 체계도 지속적으로 강화해 나갈 것”이라고 약속했다.

마지막으로 쿠팡은 “모든 사실이 명확히 밝혀지기를 고대한다”며 “대한한국 국민은 진실을 알 권리가 있다”고 밝혔다.