쿠팡Inc "현관 비밀번호 접근 2609개…조사 보고서에 누락" 주장

민관합동 조사결과에 공개 반발

쿠팡 모회사인 쿠팡Inc가 10일 개인정보 유출 규모가 1억5000만건에 달한다는 민관 합동 조사 결과에 공개적으로 반발했다. 조사단이 주요 검증 결과를 누락했다는 것이다.

과학기술정보통신부는 이날 정부서울청사에서 쿠팡 침해 사고에 대한 민관 합동 조사 결과를 발표했다. 조사단에 따르면 쿠팡 전 직원이 유출한 개인정보는 3300만건을 넘고, 범인이 들여다본 배송지 주소 등의 정보는 1억5000만건에 이른다. 조사단은 세부적인 유출 규모는 개인정보보호위원회에서 확정할 것이라면서도 1억4000만여회의 '조회' 건수를 강조하며 "조회가 유출을 의미한다"고 밝혔다.

이에 대해 쿠팡Inc는 같은 날 오후 입장문을 내고 "민관합동조사단 보고서는 전 직원이 공용현관 출입 코드에 대해 5만건의 조회를 수행했다고 기재하면서도, 해당 조회가 실제로는 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과를 누락하고 있다"고 주장했다. 조회 수가 곧 정보 유출 규모로 오인될 수 있다는 우려를 드러낸 것으로 풀이된다.

쿠팡 본사. 윤동주 기자

쿠팡Inc는 "민관합동조사단과 개인정보보호위원회는 회수된 기기 내에 한국 이용자의 개인정보가 저장돼 있지 않다는 포렌식 분석 결과도 보유하고 있다"며 "모든 포렌식 증거는 약 3000개 계정의 사용자 데이터를 저장한 후 삭제했다는 전 직원의 선서 자백 진술과 일관되게 부합한다"고 했다. 자체 조사에서 확인한 '3000건의 사용자 데이터 저장'이라는 결론이 변함없다는 입장이다.

2차 피해 가능성에 대해서도 "쿠팡 개인정보 사고로 인한 2차 피해의 어떤 증거도 확인되지 않았다"며 "독립 보안 전문 기업 CNS의 최신 분석에 따른 것"이라고 했다. 다수의 독립 인터넷 보안 업체가 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등을 주간 단위로 모니터링한 결과를 쿠팡에 전달하고 있다고도 덧붙였다. 합동조사단도 이날 브리핑에서 2차 피해는 아직 확인되지 않았다고 밝혔다.

쿠팡Inc는 "전 직원은 결제·금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보에 접근하지 않았다"며 "이는 클라우드 플랫폼 제공 업체인 아카마이(Akamai)의 보안 로그를 통해 검증됐고, 해당 로그는 2024년 12월 8일 민관합동조사단과 개인정보보호위원회에 전달됐다"고 언급했다. 입장문 말미에는 "쿠팡은 모든 사실이 명확히 밝혀지기를 고대한다"고 했다.

쿠팡은 지난해 12월 25일에도 용의자가 개인정보를 외부에 전송한 증거가 없다고 발표해 '셀프 조사' 논란을 빚은 바 있는데, 정부 조사 결과가 자체 조사와 부합한다는 점을 부각한 셈이다.

한편 쿠팡Inc가 이날 입장문을 낸 배경에는 미 하원 법사위 출석과 미국 내 소송 가능성이 있다는 해석도 나온다. 미 하원 법사위는 지난 5일(현지시간) 쿠팡 사태와 관련해 한국 정부의 차별을 주장하며 해롤드 로저스 쿠팡 임시 대표에게 소환장을 공개했다. 로저스 임시 대표는 오는 23일 미 하원 법사위에 출석할 예정이다.

최서윤 기자 sychoi@asiae.co.kr