정부, “쿠팡 정보 유출 3000만 건 이상”…실제 저장 규모·외부 전송 여부·범인 신원은 미규명

쿠팡 전 직원이 수개월 간 고객 개인정보에 무단 접근해 유출한 규모가 3367만여 건에 이른다는 정부 조사결과 발표가 나왔다. 다만 3367만여 건 ‘유출’이라는 표현이 실제 공격자가 개인 PC 등에 저장했음을 뜻하는지 여부와 수집된 정보가 외부 클라우드 등으로 실제 전송됐는지 여부, 특정 국적 인물로 거론된 공격자 신원 등은 공식 발표되지 않아 쿠팡 ‘셀프 조사’ 의혹과 ‘2차 피해’ 가능성에 대한 의문은 시원하게 해소되지 않았다는 지적이 나온다.

과학기술정보통신부는 10일 서울 종로구 정부서울청사에서 가진 ‘쿠팡 침해 사고 관련 민관합동조사 결과 발표’를 통해 지난해 11월 29일부터 쿠팡 웹 접속 기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억 건)을 분석한 결과, 쿠팡 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 3367만여 건이 유출됐다고 밝혔다.

특히 ‘배송지 목록 페이지’에서는 이름·전화번호·배송지 주소·특수문자로 비식별화한 공동현관 비밀번호 등이 1억4800만여 차례 조회돼 정보가 유출됐다는 조사 결과도 나왔다. 이 과정에서 계정 소유자 본인뿐 아니라 가족·지인 등 제 3자의 이름·연락처·주소 정보도 다수 포함돼 정보 유출 대상자 범위가 확대될 가능성도 거론됐다. 조사단이 파악한 개인정보 유출 규모에는 쿠팡이 최근 추가로 밝힌 16만5000여 개 계정 유출 건은 포함되지 않은 것으로 알려졌다.

조사단은 이번 조사에서 쿠팡으로부터 제출받은 공격자 PC 저장장치(HDD 2개·SSD 2개)와 현재 재직 중인 쿠팡 개발자 노트북에 대한 포렌식 분석도 병행했다고 설명했다. 다만 쿠팡이 자체 조사를 통해 주장한 ‘3000개 계정 정보 외부 저장’ 진위와 해당 정보가 클라우드 등 외부로 유출됐는지 여부 등에 대해선 아직 명확히 규명되지 않아 의문점을 남겼다. 정부는 공격자가 해외 클라우드 서버로 개인정보를 전송할 수 있음은 확인했지만, 실제 전송이 이뤄졌는지를 입증할 로그는 확보하지 못한 것으로 전해졌다. 저장된 정보가 삭제됐는지 등 구체적인 내용은 이번 발표에서 밝혀지지 않았다.

앞서 쿠팡은 지난해 12월 25일 “유출자는 단독으로 범행을 저질렀고, 3000개 계정의 제한적인 고객 정보를 개인 데스크톱 PC와 맥북 에어 노트북에만 저장했다”며 “해당 정보는 외부로 전송된 적 없고, 공격자가 고객 정보를 모두 삭제했다고 진술했다”고 자체 조사 결과를 발표한 바 있다.

이에 배경훈 과기부 장관은 지난해 12월 쿠팡 관련 연석 청문회에서 “3000건 외 11월 29일에 다 삭제했다는 말을 그대로 믿고 갈 수 없고, 다 조사해야 한다”며 “삭제한 데이터는 하드디스크에서 복원될 수 있고, 클라우드나 다른 곳에 저장됐을 수도 있어 전반적으로 확인해야 한다”고 말했다. 이를 계기로 정부 조사가 본격 시작됐다.

그러나 정부가 이번에 “외부 전송 여부를 확인할 수 없다”는 취지로 결론 내리면서, 쿠팡이 주장해온 “2차 피해 증거를 찾지 못했다”는 발표 신빙성이 상대적으로 높아졌다는 분석도 나온다. 업계 관계자는 “공격자에게 노출된 개인정보가 3370만여 건이라는 주장은 쿠팡도 인정했던 사실이고, 여기에서 3000건만 저장됐다는 것이 쿠팡 주장”이라며 “이번 조사단 발표는 쿠팡 주장에서 더 나아가 새롭게 규명된 사실이 없어 오히려 의문점만 남겼다”고 말했다.

조사단은 공격자의 구체적 신원과 국적을 조사한 결과에 대해선 보도자료에 명시하지 않았다. 일각에선 정부가 이미 중국 국적으로 알려진 공격자를 직접 조사하지 못한 점이 조사 한계로 이어졌다는 해석도 나오고 있다. 정부는 해당 공격자에 대해 중국에 범죄인 인도를 신청했으나 인도받지 못한 것으로도 알려졌다.

최준영 기자