[이슈+] "3,367만 건 유출 확인"‥쿠팡은 끝까지 발뺌?

[뉴스외전]

◀ 앵커 ▶

쿠팡 개인 정보 유출 사고에 대한 민관 합동조사 결과가 나왔네요?

◀ 기자 ▶

그렇습니다.

조사단이 지난 2024년 11월 29일부터 지난해 12월 31일까지의 쿠팡 접속 기록을 분석했다고 밝혔는데요.

'내 정보 수정 페이지'에서 이름·이메일 정보 3,367만여 건이 유출된 것으로 드러났습니다.

당초 정부가 추산한 3,370만 건과 유사한 수치입니다.

이번 사태는 쿠팡에서 인증 시스템 개발 업무를 담당하던 중국 국적의 전 직원 A 씨가 이용자 개인정보를 유출하면서 터졌는데요.

A 씨는 배송지 목록 페이지를 1억 4천만 번 넘게 조회한 것으로 조사됐습니다.

조사단 발표 내용 들어보겠습니다.

[최우혁/과기부 정보보호 네트워크 정책실장 (어제)] "성명, 전화번호, 배송지, 주소, 특수 문자로 비식별화된 공동 현관 비밀번호가 포함된 배송지 목록 페이지를 1억 4천800만(4천805만 6,502회) 조회하여 정보가 유출되었음을 확인하였습니다."

배송지 목록에는 물건을 배송받을 때 필요한 정보들이 저장돼 있는데, 가족이나 친구 등 다른 사람에게 물건을 보낸 적이 있다면 그 상대 정보까지 유출된 셈입니다.

이런 제3자까지 포함하면 정보 유출 대상자 범위가 더 늘어날 가능성이 큰데요.

정확한 개인정보 유출 규모는 개인 정보위가 최종 발표할 예정입니다.

◀ 앵커 ▶

이렇게 엄청난 규모의 정보가 유출되는 동안 쿠팡은 전혀 몰랐다는 겁니까?

◀ 기자 ▶

A 씨는 쿠팡에서 보안 인증 업무를 할 당시 갖고 있던 서명키를 퇴직하며 가지고 나갔고요.

이걸로 위조 전자 출입증을 만들었습니다.

출입이 가능한지 작년 1월 테스트를 했고, 4월부터 7달 동안에는 2천3백여 개 IP로 정보 유출을 했습니다.

하지만 쿠팡은 A 씨가 테스트를 할 때부터 실제 공격을 할 때까지 11달 동안 한 번도 눈치를 채지 못했습니다.

A 씨는 지난해 11월 16일과 25일 두 차례 쿠팡 측에 정보 유출을 알리는 이메일을 보내기도 했습니다.

조사단은 이번 사태가 분명히 관리의 문제라며 지능화된 공격으로 보기는 어렵다고 했습니다.

◀ 앵커 ▶

정보 유출이 있었을 당시에 2차 피해 우려가 많이 나왔습니다.

이 부분에 대한 조사 결과도 나왔나요?

◀ 기자 ▶

현재까지 개인정보 유출로 인한 2차 피해는 확인되지 않았다는 게 조사단의 설명입니다.

A 씨의 공격 스크립트에는 유출한 개인정보를 해외 클라우드로 전송하는 기능이 포함돼 있었다고 합니다.

하지만 접속 기록이 남아있지 않아 실제 전송 여부는 확인하지 못했습니다.

◀ 앵커 ▶

그런데 쿠팡은 처음부터 정보 유출이 아니라 노출이라고 했고, 유출된 개인정보가 3,000건에 불과하다는 셀프 조사를 발표할 만큼 축소에 급급했잖아요.

이번 조사단 결과에 대해서는 어떤 입장입니까?

◀ 기자 ▶

쿠팡 모회사인 쿠팡Inc가 어제 오후 입장문을 냈는데요.

이번에도 정부 발표에 일부 사실관계가 누락됐다, 유출된 정보의 범위는 한정적이고 민감한 정보는 아니었다는 점을 강조했습니다.

입장문 내용을 보면요.

"조사단 보고서는 유출자가 공동현관 출입 코드에 대해 5만 건 조회를 수행했다고 기재하면서도 실제로는 단 2,609개 계정에 대한 접근에 한정된 것이라는 검증결과는 누락했다",

"유출자가 배송지 목록을 1억 4천800만 회 넘게 조회한 것과 관련해서도 스스로 작성한 소프트웨어 프로그램으로 자동 조회를 한 것이다",

"유출자는 결제 정보, 금융 정보, 비밀번호, 정부 발급 신분증 등 민감한 고객 정보에는 접근하지 않았다"는 주장입니다.

또 유출 정보가 추가로 제3차에 의해 열람되거나 활용된 정황은 없다고도 밝혔습니다.

그러면서 대한민국 국민은 진실을 알 권리가 있다고 강조 문구도 붙였는데요.

지난 청문회에서 해롤드 로저스 대표가 국정원 지시에 따라 노트북 회수하고 포렌식 했는데 왜 한국 국민에게 알리지 않느냐고 따져 묻던 장면이 생각나는 문구입니다.

쿠팡Inc가 이렇게 직접 나서서 한국 정부 발표에 반박하는 건 미 하원 법사위 출석과 미국 내 집단소송 가능성을 염두에 둔 것이란 해석이 나옵니다.

◀ 앵커 ▶

쿠팡은 앞으로 어떤 처분을 받게 됩니까?

◀ 기자 ▶

과학기술정보통신부는 개인정보보호위원회의 과징금 결정과 별도로 쿠팡에 대한 과태료 부과와 수사 의뢰에 나섰습니다.

아시다시피 쿠팡은 한국인터넷진흥원에 사고 인지 시점으로부터 24시간이 지나서 신고를 했습니다.

침해 사고 신고 지연에 대한 과태료는 3천만 원 이하입니다.

이와 함께 정부는 사고원인 분석을 위해 신고 당일 자료 보전을 명령했지만, 쿠팡이 이를 수행하지 않아서 2024년 7월부터 약 5개월간의 웹 접속 기록 등이 삭제됐습니다.

정부는 자료 보전 명령 위반 혐의와 관련해 수사를 의뢰한 상태입니다.

◀ 앵커 ▶

오늘 과기부총리가 다시 한번 쿠팡의 주장을 정면 반박했죠?

◀ 기자 ▶

네 그렇습니다.

오늘 국회에서 과기정통부 업무보고가 있었는데요.

배경훈 부총리는 쿠팡이 3천 건만 유출했다는 보고서를 냈는데 3천367만 건을 하드디스크에 저장할 수도 있고, 클라우드에 할 수도 있는데, 이런 부분에 대해 쿠팡이 명확히 이야기하고 있지 않다고 지적했습니다.

그러면서 합동 조사단이 발표하기 전 쿠팡 코리아 측에 조사 결과를 확인시켰다고 했는데요.

그런데 쿠팡 본사에서는 좀 다른 내용을 이야기하고 있는 것이고 쿠팡이 기업의 이익과 미국 주주를 보호하기 위해 대응을 하고 있다, 여러 로비도 이뤄지고 있다고 생각한다고 밝혔습니다.

앞서 미국 하원 법사위원회가 쿠팡 사태와 관련해 한국 정부가 차별하고 있다고 주장한 일이 있었는데요.

이에 대해 배 부총리는 법과 원칙에 따라 조사를 진행했고 차별적인 조치가 없었다면서 미국 정부와 한국 정부의 입장에 대해 계속 소통하고 있다고 덧붙였습니다.

◀ 앵커 ▶

네, 쿠팡 대처에 대한 비판은 계속될 것 같습니다.

MBC 뉴스는 24시간 여러분의 제보를 기다립니다.

▷ 전화 02-784-4000
▷ 이메일 mbcjebo@mbc.co.kr
▷ 카카오톡 @mbc제보

문소현 기자(msh@mbc.co.kr)

기사 원문 - https://imnews.imbc.com/replay/2026/nw1400/article/6800411_36974.html