조사단 “5만 건 조회”…쿠팡 “실제 접근 계정은 2609건”
쿠팡 “2차 피해·부정 사용 사례 확인 안 돼”
[소셜밸류=한시은 기자] 쿠팡 Inc(쿠팡 모회사)가 과학기술정보통신부가 발표한 조사 결과에 대해 반박하는 입장을 내놓았다. 2차 피해 우려가 제기된 ‘공동현관 비밀번호’ 유출 범위를 두고 조사단은 ‘5만 건 조회’, 쿠팡은 ‘2609개 계정’이라고 각각 주장하며 양측의 시각차가 뚜렷하게 나타났다.
11일 업계에 따르면 과학기술정보통신부는 지난 10일 정부서울청사에서 브리핑을 열고 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다.
 |
| ▲ 김범석 쿠팡Inc 창업자 겸 CEO/사진=쿠팡 제공 |
과기정통부 조사 결과, 쿠팡 전 직원은 ‘내 정보 수정 페이지’를 통해 이용자 이름과 이메일 정보 약 3300만건에 접근했고, ‘배송지 목록 페이지’에서는 이용자 이름·전화번호·주소와 함께 특수문자로 비식별화된 공동현관 비밀번호가 포함된 정보를 약 1억4800만 차례 조회한 것으로 파악됐다.
이에 대해 쿠팡은 전 직원의 대규모 데이터 접근 사실은 인정하면서도 “현재까지 데이터 부정 사용 사례는 확인되지 않았다”고 강조했다. 특히 “결제 정보·금융 정보·사용자 ID 및 비밀번호·정부 발급 신분증 등 ‘고도 민감 고객 정보’(Highly Sensitive Customer Information)에는 접근하지 않았다”는 입장이다.
쿠팡에 따르면 해당 직원은 자체 제작한 프로그램으로 고객 데이터에 약 1억4000만회의 자동 조회를 수행했지만, 실제로 저장한 고객 정보는 약 3000개 계정에 불과했으며 이 데이터는 이후 모두 삭제됐다.
특히 공동현관 비밀번호와 관련해서는 조사 결과 해석을 둘러싼 시각 차이가 드러났다. 과기정통부는 공동현관 출입 코드가 포함된 정보가 약 5만 차례 조회돼 2차 범죄에 악용될 우려가 있다고 밝혔지만, 쿠팡은 반복 조회 횟수와 실제 접근 계정 수를 구분해야 한다는 입장이다.
 |
| ▲ 10일 과학기술정보통신부가 발표한 쿠팡 침해 사고에 관한 민관 합동 조사 결과/사진=과학기술정보통신부 제공 |
쿠팡은 “전 직원이 접근한 계정 정보 중 공용현관 출입 코드가 포함된 사례는 2609건”이라며 “조사 결과에는 공용현관 출입 코드에 대해 5만건의 조회를 수행했다고 기재하면서도, 해당 조회가 실제로는 단 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과는 누락하고 있다”고 강조했다.
이 같은 분석 결과는 클라우드 보안 업체 아카마이의 보안 로그와 사용자 데이터 분석을 통해 확인돼 개인정보보호위원회와 민관합동조사단에 이미 공유됐지만, 이번 발표에는 해당 맥락이 충분히 반영되지 않았다는 주장이다.
쿠팡은 또 “현재까지 실제 2차 피해의 어떤 증거도 확인되지 않았다”고 강조했다. 독립 보안 전문 기업 CNS의 최신 분석과 다크웹·딥웹·텔레그램 등 모니터링 결과에서도 유출 정보의 거래나 범죄 악용 정황은 발견되지 않았다는 설명이다.
경찰청 역시 지난해 12월 배송지 정보와 주문 정보 등 쿠팡에서 유출된 정보 유형이 악용된 것으로 의심되는 2차 피해 사례는 없다고 발표한 바 있다.
한편 과기정통부는 쿠팡이 침해 사고를 인지한 뒤 24시간 내에 당국에 신고하지 않은 데 대해 과태료 처분을 예고했다. 또 침해 사고 원인 분석을 위해 자료 보전을 명령했지만 이를 이행하지 않아 일부 웹 접속 기록이 삭제된 사안에 대해서는 수사를 의뢰했다.
과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행 계획을 이달 중 제출하도록 하고, 올해 7월까지 이행 결과를 점검할 계획이다.
이에 대해 쿠팡은 “앞으로도 정부 조사에 전면 협조하고, 추가 피해를 막기 위한 필요한 모든 조치를 취하는 한편 재발 방지를 위한 보호 체계를 지속 강화해 나갈 것”이라고 밝혔다. 이어 “모든 사실이 명확히 밝혀지기를 바란다. 국민은 진실을 알 권리가 있다”며 “이번 일로 우려를 끼쳐드린 점에 대해 깊은 유감의 뜻을 전한다”고 사과했다.
[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]
