쿠팡Inc "공격자 접근 공동현관 비밀번호 2609건"...정부 발표 반박

합동조사단 "공동현관 출입 코드 5만건 조회 결과는 검증 누락" 주장

서울 송파구 쿠팡 본사. /사진제공=뉴시스

쿠팡의 미국 본사인 쿠팡Inc가 민관합동조사단이 10일 발표한 정보유출 사건 조사와 관련해 일부 사실관계가 누락됐다는 입장을 밝혔다.

쿠팡Inc는 이날 입장문을 내고 "민관합동조사단은 중국 국적의 전 직원이 공동현관 출입 코드에 대해 5만 건의 조회를 수행했다고 밝혔지만, 클라우드 플랫폼 제공 업체인 아카마이(Akamai) 보안 로그와 사용자 데이터 분석 결과 공동현관 출입 코드가 포함된 계정은 2609건으로 확인됐다"고 밝혔다. 해당 자료는 지난해 12월 23일 개인정보보호위원회와 조사단에 공유했다는 게 회사 측의 설명이다.

쿠팡Inc는" 전 직원이 사용한 기기를 모두 회수했고, 확보된 포렌식 증거가 그의 자백 진술과 일치한다"고 강조했다.

지난해 말 쿠팡은 자체 포렌식 조사 결과를 공개하면서 "공격자가 3300만 고객 정보에 접근했지만, PC 저장장치엔 약 3000여개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 저장했다"며 "해당 정보는 공격자가 이번 사태 언론보도를 접한 후 모두 삭제했고, 고객 정보 중 제3자에게 전송된 데이터는 일체 없다"고 밝혔다.

쿠팡Inc는 이날 이 내용과 포렌식 분석 결과가 부합한다고 거듭 강조했다. 아울러 회수한 기기 내에 한국 이용자의 개인정보가 저장돼 있지 않다는 분석 결과도 민관합동조사단과 개인정보위가 보유 중이라고 덧붙였다.

쿠팡Inc는 또 공동현관 출입 코드 일부와 함께 이름, 이메일, 전화번호, 배송지 주소, 제한적 주문 내역에는 접근이 있었지만 △결제 정보 △금융 정보 △ID 및 비밀번호 △정부 발급 신분증 등 고도 민감 정보에는 접근하지 않았다고 강조했다. 이 내용도 보안 로그를 통해 검증했고 그 결과를 합동조사단에 전달한 것으로 알려졌다.

(서울=뉴스1) 김초희 디자이너 = 과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 쿠팡 전 직원에 의한 정보통신망 침해사고로 인해 내정보 수정 페이지 내 이름과 이메일 정보가 3367만 건 유출된 것으로 확인됐다. 전화번호와 주소 등이 포함된 '배송지 목록'은 1억 4000만 회 조회됐고 공동현관 비밀번호가 남아있는 '배송지 목록 수정 페이지'는 5만여 회 조회된 것으로 파악됐다. Copyright (C) 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지. /사진=(서울=뉴스1) 김초희 디자이너

일각에서 공동현관 비밀번호 접근 사실이 알려지며 2차 범죄 우려도 제기됐다. 하지만 현재까지 확인된 2차 피해는 없다는 게 쿠팡Inc의 설명이다. 금일 합동조사단도 "2차 피해는 없었다"고 확인했다.

쿠팡Inc는 "독립 보안 전문기업 CNS의 최신 분석 결과, 2차 피해의 어떤 증거도 확인되지 않았다"며 "데이터 유출 발생 시점부터, 현재까지 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등 모니터링한 결과를 받고 있으며 2차 피해와 연관된 다크웹 활동은 단 한 건도 없다"고 강조했다.

앞서 경찰도 SMS 피싱, 보이스피싱 및 기타 사이버 사기 신고 약 2만2000건에 대한 정밀 분석, 주거 침입, 강도, 스토킹 등 관련 범죄를 포함해 약 11만6000건의 강력 범죄 전수 점검을 실시한 결과, 배송지 정보와 주문정보 등 쿠팡에서 유출된 정보 유형이 악용된 것으로 의심되는 2차 피해 사례는 없다고 확인한 바 있다.

쿠팡Inc는 "조사 과정 전반에 걸쳐 정부에 관련 분석 결과를 제공해 왔으며 앞으로도 지속적으로 협조하겠다"며 "고객 데이터 보호와 투명한 정보 공개 약속을 지켜나가겠다"고 밝혔다. 그러면서 "재발 방지를 위한 보호 체계도 지속적으로 강화하겠다"고 덧붙였다.

유엄식 기자 usyoo@mt.co.kr