3300만명 접근·3000개 계정 저장 확인…민감 정보는 제외
보상안 아직 미공개…SKT 사례가 기준 될 가능성
연석 청문회·영업정지 거론…김범석 의장 출석 요구 지속 전망
[서울=뉴스핌] 조민교 기자 = 쿠팡이 최근 발생한 개인정보 유출 사태와 관련해 유출자를 특정하고 범행에 사용된 모든 장치를 회수했으며 추가 유출이나 외부 전송은 없었던 것으로 확인됐다고 밝혔다. 기술적·포렌식적 조사는 사실상 마무리 단계에 접어들었지만 국회 차원의 책임 규명과 향후 피해 고객에 대한 보상 방안을 둘러싼 논의는 이어질 전망이다.
25일 쿠팡은 보도자료를 통해 "유출자를 특정했으며 고객 정보 유출에 사용된 모든 장치를 회수했다"며 "현재까지 조사 결과 유출자는 약 3000개 계정의 제한된 고객 정보만 저장했고, 이후 이를 모두 삭제한 것으로 확인됐다"고 밝혔다.
조사 결과 유출자는 재직 중 탈취한 내부 보안 키를 이용해 약 3300만명의 고객 계정에 대한 기본적인 고객 정보에 접근했다. 앞서 해럴드 로저스 쿠팡 임시 대표이사는 지난 17일 국회 과학기술정보방송통신위원회 청문회에서 "전직 직원이 재직 중 탈취한 키를 사용해 범행을 저질렀다"고 밝힌 바 있다.
쿠팡에 따르면 유출자가 실제로 저장한 정보는 약 3000개 계정에 한정됐다. 저장된 정보는 이름, 이메일, 전화번호, 주소, 일부 주문 정보가 포함됐으며 공동현관 출입번호는 2609개로 확인됐다. 결제 정보, 로그인 정보, 개인통관고유번호 등 민감 정보에 대한 접근은 없었고 탈취한 정보가 제3자에게 외부로 전송된 정황도 발견되지 않았다. 유출자는 언론 보도 이후 저장된 정보를 모두 삭제했다고 진술했으며 포렌식 조사 결과 역시 이와 부합했다.
쿠팡은 디지털 지문 등 포렌식 증거를 통해 유출자를 특정했으며 범행에 사용된 데스크톱 PC와 MacBook Air 노트북, 관련 하드 드라이브 등 모든 장치를 회수해 확보했다. 유출자가 증거 인멸을 시도하며 노트북을 하천에 투기한 사실도 확인됐지만, 잠수부를 투입해 해당 기기를 회수했다. 쿠팡은 사건 초기부터 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 글로벌 보안업체 3곳에 포렌식 조사를 의뢰해 독립적인 검증을 진행했다고 설명했다.
기술적 수습이 마무리 국면에 접어들면서 향후 관전 포인트는 피해 고객에 대한 보상안과 정치권 대응으로 옮겨가고 있다. 쿠팡은 조사 결과가 정리되는 대로 책임 있는 보상안을 마련해 발표하겠다고 밝혔지만 구체적인 보상 범위와 방식은 아직 공개하지 않았다.
업계에서는 쿠팡의 보상안이 과거 SK텔레콤 개인정보 유출 사례를 주요 기준으로 삼을 가능성이 크다고 보고 있다. SKT는 당시 소비자분쟁조정위원회로부터 1인당 10만원 수준의 보상 권고를 받았고, 일부 사례에서는 30만원 배상 권고가 제시되기도 했다. SKT 사태가 USIM 정보 유출로 명의도용 등 2차 피해 우려가 컸던 것과 달리, 쿠팡은 기본적인 고객 정보에 한정된 접근으로 외부 유출이나 추가 피해가 없었던 점에서 보상 방식과 규모가 달라질 수 있다는 분석이 나온다.
다만 실제 저장된 정보는 3000여 개 계정에 불과하더라도 3300만명에 대한 접근 사실 자체가 확인된 만큼 정액 보상 외에 포인트 지급이나 할인 혜택 등 간접 보상 방식이 병행될 가능성도 거론된다.
정치권의 압박은 여전히 이어지고 있다. 개인정보 유출 사태를 둘러싸고 연석 청문회 추진과 영업정지 가능성까지 거론되는 가운데, 김범석 쿠팡Inc 의장에 대한 국회 출석 요구도 계속될 전망이다. 더불어민주당은 과방위를 중심으로 복수 상임위가 참여하는 연석 청문회를 예고했으며, 필요할 경우 국정조사와 동행명령장 발부 등 강제 수단도 검토하겠다는 입장이다.
사법 리스크도 남아 있다. 국내에서는 대규모 집단 손해배상 소송이 진행 중이고, 미국에서도 주주를 중심으로 한 소송이 제기됐다. 업계에서는 기술적 유출 차단과 범행 규명이 일단락된 만큼, 향후 쿠팡의 대응은 보상안의 실효성과 최고경영진의 책임 있는 태도에 달려 있다는 평가가 나온다.
mkyo@newspim.com
