"조회는 유출이다"…정부 밝힌 쿠팡 피해 규모에 혼란 가중

(서울=뉴스1) 윤수희 기자 = 정부가 쿠팡의 개인정보 유출 사태와 관련해 '조회'라는 개념을 들고 나오면서 혼란이 가중되고 있다.

정부는 조회한 행위 자체를 유출로 봐야 한다고 설명했는데, 3367만 건의 '유출'과 따로 구별지은데다 정확한 유출 규모를 알기 위해선 개인정보보호위원회에 발표를 기다려야 한다고 말해 의문이 커지는 분위기다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장은 10일 '쿠팡 침해사고 민관합동조사단 조사 결과 브리핑'에서 "내 정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 3367만 건이 유출됐음을 확인했다"고 밝혔다.

또한 최 실장은 "성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지를 1억 4805만 회 조회해 정보가 유출됐음을 확인했다"고 했다.

성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록의 수정페이지를 5만 회, 최근 주문한 상품 목록이 포함된 주문목록 페이지를 10만 회 조회했다고도 했다.

합조단은 "조회가 유출을 의미한다"고 단언했다. 이동근 민관합동조사단 부단장은 "조회하는 순간 정보가 다 바깥으로, 통제권 밖으로 나가기 때문에 1.4억 건을 조회해서 유출했다고 말씀드린 것"이라며 "소유주인 쿠팡이 관리하는 시스템에 저장된 개인정보를 타인이 조회해 가져간 것이기 때문에 통제권을 벗어난 것"이라고 설명했다.

합조단의 이번 발표는 개인정보 유출을 '개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나, 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것'이라고 정의하는 표준개인정보보호지침을 적용한 것으로 보인다.

그렇다면 '유출'됐다고 표현한 3367만 여건에 '조회' 횟수인 1억 5000만 건을 더해야 하는지, 유출자가 1억 5000만 건 조회한 배송지 목록 페이지에 나온 정보를 모두 유출 규모에 포함시켜야 하는지에 대한 의문이 나온다. 현재 합조단의 발표 결과만으론 알 수 없다.

합조단은 "개인정보 유출 규모에 대해선 개보위에서 확정해 발표할 예정"이라고 했다.

일각에선 정부가 앞선 SK텔레콤 유심 정보 유출 사태, KT 무단 소액결제 사태 관련 조사에서 언급하지 않았던 '조회'란 개념을 새롭게 들고 나온 데 대해 "규모를 키우기 위해서"가 아닌지 의구심을 갖는다.

쿠팡이 '유출자가 개인정보 3000건을 저장했다 삭제했다'고 밝힌 부분에 대해서도 합조단은 "저희가 확인도 하고 자료도 제출받고 확인도 하지만 그것은 조사 과정의 하나일 뿐"이라며 "지금 수치가 맞다, 틀리다 말하는 것은 불필요해 보인다"며 명확한 답변을 내놓지 않았다.

또한 업계는 합조단이 밝힌 유출 규모가 3367만 여건이고, "외부 전송이 실제로 이뤄졌다는 기록이 남아있지 않았다"며 "2차 피해를 확인하지 못했고 결제 피해도 없었다"는 발표 내용에 주목한다.

앞서 쿠팡은 자체 조사를 통해 3370만 여건의 계정이 유출됐고 "이 정보는 외부로 전송된 적 없으며 결제 정보, 로그인 관련 정보 등에 대한 접근도 없었다"고 밝힌 바 있다.

한 업계 관계자는 "정부가 두달 넘는 시간동안 쿠팡의 서버를 디테일하게 하나하나 확인한 결과가 쿠팡의 자체 조사 결과와 비슷하다는 건 쿠팡의 조사가 맞다는 방증이 아니겠냐"라고 했다.

ysh@news1.kr