쿠팡 정보 유출 사태 40여 일째…조사 어디까지 왔나 [뉴스in뉴스]

[앵커]

쿠팡에서의 대규모 개인정보 유출 사고가 알려진 지 40여 일이 지났습니다.

경찰과 민관합동조사단은 여전히 이 사태에 대한 조사를 진행 중인데요.

지금까지 어떤 내용이 확인됐고, 또 앞으로 밝혀져야 할 내용은 뭔지, 경제부 김채린 기자와 정리해보겠습니다.

김 기자, 3천370만 명의 정보가 유출된 대형 사고, 파장이 여전한데, 그동안 조사에 좀 진척이 있었습니까?

[기자]

네, 공식 조사 결과는 아직 발표되지 않았습니다.

다만, 지난해 말 국회가 연 쿠팡 청문회에서 기초적인 사실관계는 일부 확인할 수 있었습니다.

우선, 정보 유출 용의자가 지난해 11월 25일 쿠팡에 보낸 협박 메일이 공개됐습니다.

지금 화면으로 보고 계신데요,

쿠팡이 이 메일을 토대로 경찰에 고발장을 제출했기 때문에 수사의 기초 자료라고 볼 수 있죠.

그 내용을 보면 용의자는 다양한 쿠팡 앱과 웹사이트를 통해 이용자 데이터를 식별했다고 주장했습니다.

구체적으로는 1억2천만 건 이상의 배송지 정보, 5억6천만 건 이상의 주문내역, 3천3백만 건 이상의 이메일 주소를 언급했습니다.

이 주장이 사실인지는 조사로 밝혀져야 하는 부분인데요.

현재까지의 조사 결과와 진행 상황, 쿠팡 사태 범정부TF 팀장인 배경훈 부총리의 말 들어보시죠.

[배경훈/부총리·과학기술정보통신부장관/지난해 12월 30일/국회 청문회 : "(탈취한) 인증키를 통해서 용의자가 쿠팡 서버에 접속해서, 마음껏 고객의 정보를 확인하고 모니터링하고 필요한 정보들을 다운로드한 겁니다. 거의 모든 고객의 정보를 3천3백만 건 이상을 확인했다는 겁니다. 이름, 이메일 주소까지 노출된 거고, 지금 분석 중인데 (상품) 배송 정보, 배송 이력 이런 것들이 유출된 걸로 보고 있습니다."]

[앵커]

이름이랑 이메일, 배송정보에 들어간 주소, 전화번호, 공동현관 비밀번호, 거기에 주문 내역까지 유출됐단 건데, 쿠팡은 실제 유출된 건 3천 건뿐이라고 강조하더라고요.

이건 무슨 말입니까?

[기자]

네, 쿠팡이 지난해 성탄절날 갑자기 '현재까지의 조사 결과'라며 발표한 내용인데요.

그 근거는 자신들이 확보했다는 용의자 진술이었습니다.

쿠팡이 정보 유출 용의자를 만나 진술을 받아보니, 자신은 3천 개 계정의 고객 정보만 실제 저장했고, 언론 보도가 나온 뒤 저장했던 정보를 모두 삭제했다, 제 3자에게 전송된 데이터는 전혀 없다고 했다는 겁니다.

그러면서 쿠팡은 유출에 사용된 모든 장치가 회수됐음을 확인했다, 이렇게 주장했는데요.

용의자와 쿠팡 모두 수사 대상이기 때문에, 이들의 진술은 그대로 믿을 수 없는 검증 대상입니다.

정부는 실제로 용의자가 여러 명이거나 집단적으로 움직였을 가능성, 컴퓨터에서 정보를 삭제하기 전에 외부 클라우드 등 외부에 빼돌렸을 가능성 등을 폭넓게 열어놓고 조사하고 있습니다.

[앵커]

정부의 최종 조사 결과가 나오지도 않았는데, 쿠팡이 선제적으로 중간 결론을 공표한 거잖아요.

비판 받을 게 뻔한데 왜 이렇게까지 한 거죠?

[기자]

이번 유출 사고의 파장을 축소하려는 일종의 여론전으로 해석되는데요.

특히 쿠팡이 미국 기업이라는 점을 주목할 필요가 있습니다.

지난해 12월 18일부터 미국에서 쿠팡을 상대로 한 투자자 집단소송이 연달아 제기됐고, 미국 증시에서 쿠팡 주가가 하락하고 있던 상황이었거든요.

이런 흐름을 끊어내기 위해, 한국 정부가 크게 반발할 것을 알면서도 무리하게 조사 결과를 발표한 걸로 보입니다.

쿠팡은 미국 증권거래위원회에도 이번 유출 사고를 보고하면서, "현재까지 조사 결과"라며 "가해자는 3천 명 고객 계정에서 제한적 데이터만 저장했고, 그 데이터는 제3자에게 공유되지 않은 채 삭제됐다"고만 밝혔습니다.

이는 "쿠팡의 일방적 주장이고, 신뢰하지 않는다"는 조사 주체, 한국 정부의 입장은 전혀 언급하지 않았습니다.

그런데도 쿠팡은 일방적으로 조사 결과를 발표한 이유를 청문회에서 추궁받자, 고객을 위한 조치라고 변명했는데요.

들어보시죠.

[이재걸/쿠팡 법무 담당 부사장/지난해 12월 31일/국회 청문회 : "'누군가가 이 정보를 가지고 이용했다'라는 허위의 소문을 가지고, '2차 피싱 피해를 당한다'라는 기사들이 계속 있었습니다. 그래서 이걸 빨리 고객들에게 지금 외부에 유출된 것들은 여기 원본들은 회복이 됐고 나머지는 삭제되었다라는 걸 빨리 알려야지 이런 2차적인 피해를 막을 수 있다고 생각했습니다."]

[앵커]

정보가 삭제됐단 걸 빨리 알려야 고객의 2차 피해를 막을 수 있다?

이건 앞뒤가 안 맞는 내용 같은데요.

[기자]

네. 일단 유출된 정보가 정말 삭제됐는지도 확인되지 않았을 뿐더러, 쿠팡이 그렇게 알린다고 해서 고객들 불안이 줄어드는 것도 아닙니다.

오히려 고객이 아닌 쿠팡 입장에서의 2차 피해, 쿠팡이 받는 비난을 막기 위해 무리하게 중간 조사 결과를 발표했다는 비판이 가능합니다.

[앵커]

쿠팡이 정부 조사에 협조하지 않고 있다는 얘기도 들려요?

[기자]

그렇습니다.

지난해 말 기준으로 보면, 민관합동조사단은 쿠팡에 모두 160여 건의 자료 요청을 했습니다.

쿠팡은 이 가운데 50여 건만 제출했고, 그마저도 중요 정보들은 안 내고 있단 게 정부 설명이었습니다.

쿠팡이 고용한 미국 보안업체들이 용의자 장비를 포렌식했다는 세부 결과와 원데이터 등 증거 자료도 제출받지 못했다고 했습니다.

최근엔 쿠팡이 정부 조사를 방해한 정황까지 나왔습니다.

지난해 11월, 쿠팡 홈페이지 접속 로그 자료를 보존하라는 정부 명령을 받고도 쿠팡이 로그 삭제를 방치한 사실이 확인된 건데요.

그 결과 2024년 7월부터 11월까지 5개월 분량의 쿠팡 홈페이지 접속 기록이 삭제된 걸로 조사됐습니다.

정부는 이 문제에 대해 경찰에 수사를 의뢰했는데요,

경찰은 헤럴드 로저스 쿠팡 대표를 조만간 소환해 이 부분도 따져 물을 계획입니다.

[앵커]

네, 아직 갈길이 머네요.

여기까지 듣겠습니다.

영상편집:신선미/그래픽:김정현

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

김채린 기자 (dig@kbs.co.kr)