대만은 아니라더니...쿠팡 “대만 고객 20만명 개인정보 유출”

한국에서 발생한 유출 사건과 같은 건으로 쿠팡 대만 고객 20만명의 개인정보가 유출된 사실이 뒤늦게 알려졌다. 작년 11월 한국에서 대규모 개인정보 유출이 알려진 직후 “대만에선 유출이 없다”고 했지만, 석 달 가까이 지난 시점에서 유출 사실이 밝혀진 것이다.

서울 송파구 쿠팡 본사 전경 /뉴시스

지난 24일 쿠팡은 “(한국과) 동일한 사건에서 (쿠팡) 전 직원이 무단 접근한 계정 중 약 20만개가 대만 소재 계정인 것으로 확인했다”며 “접근된 데이터는 이름, 이메일 주소, 전화번호, 배송지 주소, 그리고 제한된 수의 주문 목록이다. 금융 및 결제 데이터, 비밀번호 등 로그인 계정 정보, 정부 발급 ID 등 정보는 접근되지 않았다”고 밝혔다. 또 “사건 발생 초기부터 맨디언트(Mandiant) 등 글로벌 사이버 보안 업체를 통해 이어온 포렌식 조사를 진행했고, 현재 해당 조사가 완료돼 결과를 공개하는 것”이라며 “맨디언트의 포렌식 분석 결과 저장된 계정 숫자는 한국은 약 3000개, 대만은 1개로 확인됐다”고 했다. 그간 쿠팡은 국내 대규모 유출 사태에서 계정을 다운로드해 피해를 본 계정은 3000여 개라고 주장했는데, 대만에선 이 숫자가 1개라고 말한 것이다.

대만은 쿠팡이 ‘제2의 한국’으로 삼고 빠르게 키우는 신시장인 만큼, 이번 사태로 인한 여파가 적지 않을 것이란 지적이다. 실제 쿠팡은 작년 11월 29일 한국 언론에 3370만건의 개인 정보 유출 사건이 일어났다는 걸 알린 지 두 시간 만에 “조사 결과 쿠팡 대만 고객 데이터가 유출됐다는 증거는 없다”고 대만 언론에 자료를 배포했다. 당시 쿠팡은 한국에선 언론에 보도자료만 냈을 뿐, 대부분의 쿠팡 소비자가 사고 다음 날인 30일 문자 통보를 받을 때까지 자신의 피해 여부를 직접 확인할 수 없었다. 당시 업계에선 “공격적인 확장에 나선 시점에 보안 이슈가 대만으로 퍼지는 것을 막기 위해 쿠팡이 선제 조치에 나선 것”이란 이야기가 나왔다.

쿠팡의 ‘셀프 조사’ 신뢰도가 다시 한번 흔들렸다는 지적도 나온다. 쿠팡은 지난 5일에도 “개인 정보 유출 사고를 민관 합동 조사단이 조사하는 과정에서 약 16만5000개 계정의 개인 정보가 추가 유출된 사실을 확인했다”며 한국 고객 정보 유출 규모를 수정했다. 쿠팡은 지난해 12월 맨디언트 등 글로벌 보안 업체의 분석을 근거로 ‘셀프 조사’를 발표하며 “다운로드돼 실제 피해가 발생한 것은 약 3000개 계정”이라고 주장해 왔다. 그러나 한국 정부는 “저장 여부와 무관하게 개인정보가 유출된 계정이 3370만개에 달한다는 사실은 변함이 없다”는 입장을 밝혀 왔다.