쿠팡 ‘셀프 조사·자료 부실 논란’ 일지(그래프=김정훈 기자)
13일 정부 당국에 따르면 쿠팡은 민관합동조사단(합조단)이 요구한 자료 가운데 70~80%가량을 제출한 상태다. 지난달 31일 국회 청문회에서 배경훈 부총리 겸 과학기술정보통신부 장관이 “정부가 요청한 160여 건 중 50여 건만 제출했다”고 지적했던 것과 비교하면 수치상으로는 진전이 있는 셈이다.
하지만 합조단은 “정작 조사에 필요한 핵심 자료는 대부분 빠져 있다”고 보고 있다. 특히 쿠팡은 용의자로부터 직접 회수한 노트북 장비를 외부 보안업체에 맡겨 독자적으로 포렌식 분석을 진행했는데, 이 과정에서 생성된 포렌식 결과 보고서와 로우 데이터(raw data)를 아직 제출하지 않은 것으로 확인됐다.
쿠팡 측은 미제출 사유에 대해 합조단에 “아직 작성 중”이라는 취지로 소명한 것으로 알려졌다. 그러나 쿠팡이 지난달 18일 노트북 증거를 회수한 뒤 포렌식 분석을 진행했고, 그 조사 결과를 25일 이미 공개했다는 점을 감안하면 설득력이 떨어진다는 지적이 나온다. 업계에서는 핵심 자료 제출을 늦추는 것이 시간 끌기 아니냐는 의문도 제기하고 있다.
서울 시내 쿠팡 차량 차고지로 한 시민이 지나가고 있다. (사진=이데일리DB)
쿠팡의 비협조 논란은 이른바 ‘셀프 조사’ 문제와 맞물려 의구심을 키우고 있다. 쿠팡은 지난달 25일 보도자료를 통해 “용의자의 PC와 하드디스크 드라이브를 조사한 결과, 유출자는 고객 계정 3300만 개 정보에 접근했으나 이 중 약 3000개 고객 정보만 저장했다”며 “저장된 정보는 모두 삭제됐고 제3자 전송은 없음을 확인했다”고 발표했다.
당시 쿠팡은 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 외부 글로벌 보안업체에 포렌식을 의뢰해 분석한 결과라며 신뢰성을 강조했다. 포렌식은 디지털 기기 내 접속 기록과 시스템 흔적을 수집·분석해 범죄나 사고의 단서를 찾는 절차로, 쿠팡 발표의 타당성을 가를 핵심 근거로 꼽힌다.
그러나 당국은 이 과정에 정부 기관이 배석하지 않았다고 반박했다. 국가정보원과 경찰에 따르면 쿠팡은 용의자로부터 회수한 노트북 장비를 이송하기 위해 국정원과 접촉한 시점(12월 17일) 이전에 이미 독자적으로 이미지 사본을 복제(12월 15일)했으며, 해당 노트북을 수사기관에 제출한 당시(12월 21일)에도 자체 포렌식 사실을 경찰에 알리지 않았다는 입장이다.
또한 합조단 측에는 보안업체들의 분석 결과를 요약한 PPT 자료만 제출했을 뿐, 상세 보고서나 로우 데이터는 제출하지 않아 국회 청문회 과정에서도 여러 차례 질타를 받았다.
“요약본 있는데 원본 없다”…보안업계 “기술적으로 앞뒤 안 맞아”
보안업계는 쿠팡의 설명이 기술적으로 납득하기 어렵다고 지적한다. 익명을 요구한 보안 전문가는 “포렌식 결과 리포트나 요약본이 나왔다는 것은 이미 로우 데이터를 확보해 분석을 끝냈다는 뜻”이라며 “외부 업체가 분석에 사용한 로우 데이터를 왜 국가 조사기관에는 공유하지 않는지 의문”이라고 말했다.
이 전문가는 “포렌식은 노트북 장비만으로 완결되지 않는다”며 “이벤트 로그, 파일 입출력 내역, 시스템 기록 등 원시 데이터 일체를 통해 교차 검증이 가능한데, 보고서가 나왔다면 상세 자료도 함께 제출되는 것이 자연스럽다”고 강조했다.
이 때문에 업계에서는 쿠팡이 자체 조사를 통해 피해 규모를 축소 발표해 놓고, 이를 합조단이 교차 검증하는 데 필요한 객관적 자료 제출은 미루는 행태가 오히려 ‘사건 축소·은폐’ 의혹을 키우고 있다는 비판이 나온다.
정부는 쿠팡의 자료 제출을 지속적으로 요구하고 있다. 합조단 관계자는 “추후 조사 방해 행위로 수사 의뢰를 할 수 있겠지만, 개별 사안마다 일일이 조치하기 어려워 우선은 자료 제출 요청 공문을 계속 보내고 있다”고 밝혔다. 이는 향후 쿠팡이 핵심 자료 제출을 거부하거나 지연할 경우 법적 조치로 이어질 가능성도 배제할 수 없다는 의미로 해석된다.
