쿠팡의 미국 본사인 쿠팡Inc가 민관합동조사단의 개인정보 침해 사고 조사 결과와 관련해 공동현관 출입 비밀번호 유출 규모에 일부 사실관계가 정부 발표에서 누락됐다고 주장했습니다.

쿠팡Inc는 민관합동조사단 조사와 관련한 공식 입장을 통해 "지난해 중국 국적의 쿠팡 전 직원이 자체 제작한 프로그램을 이용해 약 1억4천만 회의 자동 조회를 수행하며 3,300만 개 이상의 고객 계정에 접근했지만, 공동현관 출입 코드가 실제로 포함된 계정은 2,609건에 불과하다"고 밝혔습니다. 실제로 공격자가 저장한 사용자 정보도 약 3천건 수준이라는 설명입니다.

앞서 민관합동조사단은 해당 전 직원이 공동현관 출입 코드에 대해 약 5만 건의 조회를 수행했다고 발표한 바 있습니다.

이에 대해 쿠팡Inc는 “아카마이(Akamai) 보안 로그와 사용자 데이터 분석 결과, 공동현관 출입 코드가 포함된 계정은 2,609건으로 확인됐다”며 “정부 발표에는 실제 접근 계정 수에 대한 검증 결과가 누락됐다”고 주장했습니다.

해당 분석 자료는 지난해 12월 23일 개인정보보호위원회와 조사단에 공유됐다고 덧붙였습니다.

쿠팡Inc는 전 직원이 사용한 기기를 모두 회수해 포렌식 조사를 진행했으며, 확보된 증거가 전 직원의 선서 진술과 일치한다고 설명했습니다. 그러면서 회수된 기기에는 한국 이용자의 개인정보가 저장돼 있지 않다는 분석 결과를 조사단과 개인정보위가 보유하고 있다고 밝혔습니다.

쿠팡Inc는 공격자가 공동현관 출입 코드 일부와 함께 이름, 이메일, 전화번호, 배송지 주소, 제한적인 주문 내역에는 접근했지만, 결제 정보와 금융 정보, 아이디·비밀번호, 정부 발급 신분증 등 고도 민감 정보에는 접근하지 않았다고 강조했습니다.

이 역시 아카마이 보안 로그를 통해 검증됐으며, 해당 자료는 지난해 12월 8일 조사단과 개인정보위에 전달됐다고 설명했습니다.

공동현관 출입 비밀번호 접근 사실이 알려지며 2차 범죄 우려도 제기됐지만, 쿠팡Inc는 현재까지 확인된 2차 피해는 없다고 밝혔습니다.

쿠팡Inc는 "조사 과정 전반에 걸쳐 정부에 관련 분석 결과를 제공해 왔으며 앞으로도 지속적으로 협조하겠다”며 “고객 데이터 보호와 투명한 정보 공개 약속을 지키고 재발 방지를 위한 보호 체계도 강화하겠다"고 밝혔습니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

한지이(hanji@yna.co.kr)