[미디어펜=김성준 기자] 쿠팡의 모회사인 쿠팡Inc가 개인정보 유출 사태와 관련한 민관합동조사단의 잠정 조사결과 발표에 대해 공식 입장을 내고 일부 사실관계가 누락됐다고 주장했다.
서울 송파구 쿠팡 본사./사진=미디어펜 김성준 기자
쿠팡은 10일 입장문을 통해 “지난해 중국 국적의 전(前) 직원이 3300만 개 이상 고객 계정이 포함된 데이터에 부적절하게 접근해 약 3000개 계정의 정보를 저장했다”면서 “국내에서 거주하던 해당 직원은 스스로 작성한 소프트웨어 프로그램으로 약 1억4000만 회의 자동조회를 수행했고, 해당 데이터가 추가로 제3자에 의해 열람되거나 활용된 정황은 없다”고 강조했다.
쿠팡은 ▲해당 전 직원이 공격에 사용한 기기는 모두 회수됐으며, 확보된 포렌식 증거 전체는 약 3000개 계정의 데이터만을 저장한 뒤 이를 모두 삭제했다는 점 ▲전 직원은 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보에 접근하지 않았다는 점 ▲쿠팡 개인정보 사고로 인한 2차 피해의 어떤 증거도 확인되지 않았다는 점 등도 재차 강조했다.
특히 쿠팡은 “전 직원이 접근한 계정 정보 중 공용현관 출입 코드가 포함된 사례는 2609건이고, 이는 아카마이(Akamai) 보안 로그와 사용자 데이터 분석을 통해 확인됐다”면서 “쿠팡은 해당 분석 결과를 2025년 12월23일 개인정보보호위원회와 민관합동조사단에 공유했다”고 설명했다.
이어 “그러나 2월10일 자 민관합동조사단 보고서는 해당 전 직원이 공용현관 출입 코드에 대해 5만 건의 조회를 수행했다고 기재하면서도, 해당 조회가 실제로는 단 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과는 누락하고 있다”고 지적했다.
쿠팡은 입장문을 통해 경찰의 태도도 꼬집었다. 경찰은 지난해 12월5일 “쿠팡에서 유출된 정보 유형이 악용된 2차 피해 관련 의심 사례는 확인되지 않았다”고 밝힌 뒤, 12월15일 국회 청문회를 앞두고는 “현 단계에서는 2차 피해 발생 여부를 단정하기 어렵다”라고 발표했다.
쿠팡은 “해당 발언 이후 약 두 달이 지난 현재까지도, 경찰이 확인해 발표한 2차 피해 사례는 없다”면서 경찰을 우회적으로 비판했다.
그러면서 “쿠팡은 앞으로도 정부 조사에 전면 협조하고, 추가 피해를 막기 위한 필요한 모든 조치를 취하며, 재발 방지를 위한 보호 체계도 지속적으로 강화해 나갈 것”이라며 “모든 사실이 명확히 밝혀지기를 고대한다. 대한한국 국민은 진실을 알 권리가 있다”고 덧붙였다.
한편 과학기술정보통신부는 전날 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다. 과기정통부는 쿠팡 ‘내 정보 수정 페이지’에서 이용자 이름, 이메일 3367만여 건이 유출됐으며, ‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억4800만여 차례 조회해 정보가 유출된 것으로 파악했다.
[미디어펜=김성준 기자]