쿠팡이 대규모 개인정보 유출 사태와 관련해 외부 유출이 없었다는 자체 조사 결과를 기습 발표하면서 논란이 커지고 있다. 정부는 민관 합동 조사가 진행 중인 사안에 대한 일방적 공지라며 강하게 반발했다.
쿠팡은 지난 25일 누리집 공지사항을 통해 고객정보 유출 관련 긴급 자체 조사 결과를 공개했다. 쿠팡은 글로벌 보안 기업이 참여한 포렌식 분석과 전직 직원 A씨의 자백을 토대로, A씨가 재직 시절 취득한 내부 보안 키를 이용해 약 3300만 명의 고객정보에 접근했으나 실제 저장한 데이터는 3300만 명이 아닌 3000개 계정 정보에 해당하는 약 3000건 수준이라고 주장했다.
쿠팡은 “A씨가 저장한 정보는 공동현관 출입번호 2609개가 포함된 3000개 계정 데이터로, 로그인 정보·결제 정보·개인통관 고유부호는 포함되지 않았다”고 밝혔다. 이어 “저장된 데이터는 모두 삭제됐으며, 외부로 전송된 이력도 확인되지 않았다”고 강조했다.
쿠팡에 따르면 A씨는 유출에 사용한 노트북을 물리적으로 파손한 뒤 벽돌로 무게를 채운 에코백에 담아 인근 하천에 유기했다. 이후 민간 잠수부가 해당 하천에서 벽돌이 든 에코백을 발견해 회수했고, 노트북 일련번호와 A씨 클라우드 계정 정보가 일치한 것으로 확인됐다는 것이 쿠팡 설명이다.
쿠팡은 이번 사태 조사를 위해 맨디언트, 팔로알토 네트웍스, 언스트앤영(EY) 등 글로벌 사이버 보안·컨설팅 기업에 조사를 의뢰했다고 밝혔다. 쿠팡은 “현재까지 조사 결과는 유출자 진술과 일치한다”며 “제3자에게 전송되거나 외부로 유출된 고객 데이터는 없다”고 재차 강조했다.
그러나 발표 당일 과학기술정보통신부는 “쿠팡이 민관합동 조사단에서 조사 중인 사안을 사전 협의 없이 일방 공개했다”며 쿠팡 측에 강력 항의했다고 밝혔다. 과기정통부는 이어 “쿠팡이 공지한 내용은 조사단이 공식 확인한 바 없다”며 “현재 조사단이 유출 경위와 규모, 외부 전송 여부를 면밀히 들여다보고 있는 만큼, 쿠팡의 주장은 아직 검증되지 않은 상태”라고 선을 그었다.
조유현 더나은미래 기자
