쿠팡 "3000개 계정 정보 저장, 2차 피해 확인 안돼"
1.5억회 조회, 유출 규모 확대 여지…개보위 최종 판단
[서울=뉴스핌] 이성화 기자 = 정부가 쿠팡의 대규모 개인정보 유출 사태와 관련해 3370만 여건의 이용자 정보가 유출됐다는 조사 결과를 내놨지만 쿠팡 측은 실제 저장된 정보가 3000건이라는 입장을 고수하고 있다.
개인정보 유출 규모는 개인정보보호위원회(개보위)가 최종적으로 판단하는 만큼 유출 규모를 두고 당분간 논란이 계속될 전망이다.
11일 민관합동조사단의 쿠팡 정보통신망 침해사고 조사 결과에 따르면 쿠팡에서 퇴사한 백엔드 개발자는 재직 중 탈취한 '서명키'로 시스템에 무단 침투해 지난해 6월부터 10월까지 내정보 수정 페이지에서 고객 성명과 이메일 등 개인정보 3367만3817건을 유출했다.
 |
◆고객 정보 1억4800만회 조회…유출 규모 확대 가능성
조사단은 공격자가 ▲성명, 전화번호, 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지 1억4806만502회 ▲비식별화되지 않은 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지 5만474회 ▲최근 주문 상품 목록이 포함된 주문 목록 페이지 10만2682회 등을 조회했다고 밝혔다.
내정보 수정 페이지는 피해자가 건당 1명이지만, 배송지 목록 페이지에는 계정 소유자뿐만 아니라 가족, 친구 등 제3자의 배송지도 등록할 수 있어 실제 유출 피해 규모는 더 커질 수 있다.
반면 쿠팡 측은 공격자가 3300만개 이상의 고객 계정이 포함된 데이터에 접근했지만 그 중 약 3000개 계정의 정보만 저장해 유출 규모는 3000건에 불과하다는 입장이다.
조사단은 계정을 들여다본 것을 모두 유출로 판단했지만 쿠팡은 실제 정보를 저장한 건수만 유출로 본 것이다.
쿠팡 미국 본사인 쿠팡Inc는 전날 정부 조사 결과에 대한 입장문을 내고 "민관합동조사단과 개보위 등 규제 당국이 확보한 포렌식 증거 전체는 약 3000개 계정의 데이터만을 저장한 뒤 이를 모두 삭제했다는 전 직원의 선서 자백 진술과 일치한다"고 밝혔다.
쿠팡Inc는 또 "민관합동조사단 보고서는 전 직원이 공용현관 출입 코드에 대해 5만 건의 조회를 수행했다고 기재하면서도, 해당 조회가 실제로는 단 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과는 누락하고 있다"며 정부 발표에 반박했다.
배경훈 부총리 겸 과학기술정보통신부(과기정통부) 장관은 이날 국회 과학기술정보방송통신위원회의 과기정통부 업무보고에서 "민관합동조사단의 개인정보 3367만건 유출은 쿠팡코리아도 확인한 내용"이라며 쿠팡 측의 주장을 신뢰할 수 없다고 밝혔다.
배 부총리는 "3000건 데이터 저장은 공격자가 서버에 접속해서 정보를 직접적으로 빼간 수치만을 말하는 것"이라며 "실제 유출된 정보가 하드디스크에 저장될 수도 있고 클라우드에 올라갈 수도 있는데 이런 부분은 명확히 이야기하고 있지 않다"고 지적했다.
앞서 쿠팡은 지난해 11월 29일 약 3370만개 고객 계정에 개인정보 접근이 발생했다고 발표했다. 이후 같은 해 12월 25일 자체 조사 결과를 공개하면서 "공격자가 약 3300만개의 고객 정보에 접근했으나, PC 저장장치에는 약 3000여개 계정의 고객 정보만 저장했다"고 밝힌 바 있다.
◆정부·쿠팡 "2차 피해 확인 안돼"… 과태료 등 후속 절차 남아
쿠팡과 조사단은 2차 피해 가능성에 대해서는 같은 입장을 내고 있다.
조사단은 전날 조사 결과 발표 브리핑에서 "현재까지 다크웹 등 다른 곳에서 2차 피해를 확인하지 못했고, 결제 정보 유출도 없었다"고 밝혔다.
쿠팡Inc도 전 직원이 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 민감 고객 정보에는 접근하지 않았다며 데이터 부정 사용 사례는 '0건'이라고 강조했다.
그러면서 "데이터 유출 발생 시점부터 현재까지 다수의 독립 인터넷 보안 전문 업체가 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등을 모니터링한 결과에서 2차 피해와 연관된 다크웹 활동은 단 한 건도 확인되지 않았다"고 설명했다.
다만 조사단은 공격자가 고객 정보를 외부로 전송한 흔적을 발견하지 못했다. 이에 향후 2차 피해 가능성을 배제하기 어렵게 됐다.
조사단은 쿠팡이 제출한 공격자의 하드디스크와 SSD를 포렌식한 결과 유출 정보를 해외 클라우드 서버로 전송할 수 있는 기능을 확인했지만 실제 전송 여부는 기록이 남아있지 않아 확인할 수 없다고 밝혔다.
배 부총리는 이에 대해 "유출 정보가 어떻게 활용됐는지는 경찰청에서 조사할 것이고 단계적으로 공정거래위원회, 개보위 등 정부 각 부처가 사안을 규명하고 후속 대응을 진행할 것"이라고 했다.
개보위의 유출 규모 판단과 함께 경찰 수사 결과, 과태료 부과 조치 등 후속 절차도 남아 있다.
조사단은 쿠팡이 침해사고 신고를 지연한 것과 관련해 정보통신망법 제76조에 따라 3000만원 이하의 과태료를 부과할 예정이다. 과기정통부의 자료보전 명령 위반에 대해서는 수사기관에 수사를 의뢰했다.
과기정통부는 조사단의 조사 결과를 바탕으로 이번 달 중 쿠팡에 재발 방지 대책이 담긴 이행계획서를 제출하도록 하고 오는 7월까지 이행 여부를 점검할 계획이다.
shl22@newspim.com
