쿠팡Inc "공격자 접근한 공동현관 비번 2609건…정부 발표서 누락"

(서울=뉴스1) 윤수희 기자 = 민관합동조사단의 쿠팡 개인정보 침해사고에 조사 관련, 쿠팡의 모회사 쿠팡Inc가 공식 입장을 내고, 공동현관 출입 코드(비밀번호) 유출 규모에 대해 일부 사실관계가 정부 발표에서 누락됐다고 10일 주장했다.

합조단은 이날 조사 결과에서 해당 전 직원이 공동현관 출입 코드에 대해 5만 건의 조회를 수행했다고 밝혔다.

쿠팡Inc는 지난해 중국 국적의 전 직원이 자체 제작한 프로그램을 이용해 약 1억4000만 회의 자동 조회를 수행하며 3300만 개 이상의 고객 계정에 접근했다고 밝혔다. 이 가운데 공동현관 출입 코드가 포함된 계정은 2609건으로 확인됐으며, 실제로 저장된 사용자 정보는 약 3000건에 불과하다고 밝혔다.

이에 대해 쿠팡Inc는 "아카마이(Akamai) 보안 로그 및 사용자 데이터 분석 결과, 공동현관 출입 코드가 포함된 계정은 2609건으로 확인됐다"며 "보고서에는 실제 접근 계정 수에 대한 검증 결과가 누락됐다"고 밝혔다. 그러면서 해당 분석 자료는 지난해12월 23일 개인정보보호위원회와 조사단에 공유됐다고 설명했다.

쿠팡Inc는 전 직원이 사용한 기기를 모두 회수했으며, 확보된 포렌식 증거가 그의 선서 자백 진술과 일치한다고 밝혔다. 전 직원은 약 3000개 계정의 데이터를 저장한 뒤 이를 삭제했다고 진술했으며, 포렌식 분석 결과도 이에 부합한다는 것이다.

또한 회수된 기기 내에 한국 이용자의 개인정보가 저장돼 있지 않다는 분석 결과를 민관합동조사단과 개인정보위가 보유하고 있다고 덧붙였다.

쿠팡Inc는 공동현관 출입 코드 일부와 함께 이름, 이메일, 전화번호, 배송지 주소, 제한적 주문 내역에는 접근이 있었으나 △결제 정보 △금융 정보 △ID 및 비밀번호 △정부 발급 신분증 등 고도 민감 정보에는 접근하지 않았다고 강조했다.

이 역시 아카마이(Akamai) 보안 로그를 통해 검증됐으며, 해당 로그는 2025년 12월 8일 민관합동조사단과 개인정보보호위원회에 전달됐다고 했다.

공동현관 비밀번호 접근 사실이 알려지며 2차 범죄 우려도 제기됐지만, 쿠팡은 현재까지 확인된 2차 피해는 없다고 밝혔고, 금일 합조단도 "2차 피해는 없었다"고 확인했다.

쿠팡Inc는 "독립 보안 전문기업 CNS의 최신 분석 결과 2차 피해의 어떤 증거도 확인되지 않았다"며 "데이터 유출 발생 시점부터, 현재까지 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등 모니터링한 결과를 받고 있으며 2차 피해와 연관된 다크웹 활동은 단 한 건도 없다"고 했다.

쿠팡Inc는 "조사 과정 전반에 걸쳐 정부에 관련 분석 결과를 제공해 왔으며 앞으로도 지속적으로 협조하겠다"며 "고객 데이터 보호와 투명한 정보 공개 약속을 지켜나가고, 재발 방지를 위한 보호 체계도 지속적으로 강화하겠다"고 했다.

쿠팡Inc의 이번 발표는 "3000명만 유출됐다"고 주장하는 게 아닌, 공동 현관 비밀번호 등 일부 조사 과정에서 억울한 부분에 대한 해명 차원으로 풀이된다.

앞서 쿠팡은 "당사는 기존 3370만 여개 계정의 유출 규모에 대해서 부정한 적이 없다"며 "3370만 여명에 대해 개인정보 유출 통지를 했고 보상안도 지급했다"고 밝혔다.

ysh@news1.kr