쿠팡의 모회사 쿠팡Inc가 과학기술정보통신부(과기정통부) 민관합동조사단이 발표한 개인정보 침해 사건 조사 결과와 관련해 공식 입장을 내고 일부 사실 관계가 누락됐다고 반박했다.

10일 과기정통부는 이날 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동조사단 최종 조사 결과를 발표했다.

최우혁 과기정통부 정보보호네트워크정책실장은 “쿠팡 전직 직원이 지난해 4월 14일부터 11월 8일까지 쿠팡 웹피이지에 접속해 이용자 정보를 유출한 것으로 파악됐다”며 “‘내 정보 수정 페이지’에서 성명‧이메일 등 3367만3817건의 정보가 유출됐다”고 밝혔다.

조사단에 따르면, 이번 개인정보 유출 사건은 중국인 전 직원에서부터 시작됐다. 그는 쿠팡에서 근무할 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계‧개발 업무를 수행한 소프트웨어 개발자인 것으로 알려졌다.

10일 쿠팡Inc는 이날 오후 입장문을 내고 지난 11월 불거진 데이터 사건과 관련하여 “2차 피해 사실은 확인되지 않았다”며 공식 입장을 밝혔다.

쿠팡에 따르면, 지난해 중국 국적의 전 직원이 자체 제작한 소프트웨어 프로그램을 이용해 약 1억 4천만 회에 걸친 자동 조회를 수행하며 3300만 명 이상의 고객 계정 정보에 접근했다. 이 중 약 3000개 계정의 정보를 저장했으며, 추가 제3자 열람이나 활용 정황은 없다는 설명이다.

쿠팡은 “해당 전 직원이 사용한 모든 기기를 회수했으며, 확보된 포렌식 증거는 약 3000개 계정의 데이터를 저장한 뒤 이를 삭제했다는 선서 자백 진술과 일치한다”고 밝혔다.

회수된 기기는 지난해 12월 23일 이후 민관합동조사단과 개인정보보호위원회가 보유하고 있으며, 포렌식 분석 결과 한국 이용자의 개인정보가 기기 내에 저장돼 있지 않음이 확인됐다고 덧붙였다.

접근 정보 범위에 대해서는 “고객 이름, 이메일 주소, 전화번호, 배송지 주소, 제한적인 주문 내역, 일부 공용현관 출입 코드가 포함됐지만 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보에는 접근하지 않았다”고 설명했다.

해당 사실은 클라우드 플랫폼 제공업체 아카마이(Akamai)의 보안 로그를 통해 검증됐으며, 관련 자료는 지난해 12월 8일 규제 당국에 전달됐다고 밝혔다.

공용현관 출입 코드와 관련해서는 “접근 사례는 2609건”이라고 못박았다. 쿠팡Inc는 “2월 10일자 민관합동조사단 보고서가 전 직원이 공용현관 출입 코드에 대해 5만 건 조회를 수행했다고 기재했지만, 실제로는 2609개 계정에 대한 접근에 한정됐다는 검증 결과가 누락됐다”고 주장했다.

2차 피해와 관련된 내용도 언급했다. 쿠팡Inc는 “쿠팡 개인정보 사고로 인한 2차 피해의 어떤 증거도 확인되지 않았다”며 “모니터링 결과에서 2차 피해와 연관된 다크웹 활동은 단 한 건도 확인되지 않았다”고 말했다. 쿠팡Inc 측은 다수의 독립 인터넷 보안 전문 업체가 주간 단위로 보안 관련 결과를 보내주고 있고, 그 결과를 꾸준히 모니터링 하고 있다는 입장이다.

쿠팡Inc 관계자는 "정부 조사에 전면 협조하고 있으며, 추가 피해 방지와 재발 방지를 위한 보호 체계를 지속적으로 강화할 것"이라며 "모든 사실이 명확히 밝혀지기를 기대하며 국민께 불안과 우려를 끼친 점에 깊이 사과드린다"고 말했다.

그러면서 "쿠팡은 고객 데이터 보호와 투명한 정보 공개에 대한 약속을 변함없이 지켜나가고 있다"며 "대한민국 국민은 진실을 알 권리가 있다"고 강조했다.

글=고기정 월간조선 기자