쿠팡 개인정보 3367만건 유출…범인·2차 피해는 ‘안갯속’

쿠팡 전직 개발자, 인증키 탈취해 시스템 접근
총 3367만건 유출…배송지 목록 1.4억회 조회
세부 위법성 판단은 개보위 몫…범인 수사는 경찰


서울 도심 내 한 쿠팡 배송 물류센터의 모습. 임세준 기자


[헤럴드경제=강승연·박혜림 기자] 쿠팡의 개인정보 유출 사고를 둘러싼 피해 규모 논란이 지속된 가운데, 정부가 3300만건 이상의 정보가 유출됐다는 조사 결과를 내놨다. 그간 쿠팡의 자체 조사 결과 발표로 혼란을 야기하던 수치가 이번 발표를 통해 공식화된 것이다.

범인의 범행 수법이나 협박 내용도 윤곽이 드러났지만, 범인의 국적이나 구체적 신상, 세부적인 유출 규모는 공개되지 않았다는 지적이 제기된다. 일각에서는 미국 의회 조사를 의식해 서둘러 발표한 것 아니냐는 관측도 나온다.

정부 “총 3367만건 유출…공동현관 비번도 조회”


과학기술정보통신부는 쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과를 10일 발표하고 이번 사고로 유출된 정보가 ‘내정보 수정 페이지’ 내 성명과 이메일 주소 등 총 3367만여건에 달한다고 밝혔다. 이는 지난해 11월 발생한 유출 사고 이후 민관합동조사단이 쿠팡의 이용자 인증 체계와 접속 기록 등을 분석한 결과다.

유출 범위는 성명과 이메일에 그치지 않았다. 배송지 목록 페이지는 약 1억4000만여회 조회됐고 여기에는 성명, 전화번호, 주소 등이 포함됐다. 특히 쿠팡 측이 그간 유출 가능성을 부인해 온 ‘공동현관 비밀번호’가 포함된 페이지 역시 5만여회 이상 조회된 사실이 정부 조사로 밝혀졌다. 최근 주문 상품 목록이 담긴 주문목록 페이지도 10만여회 조회된 것으로 확인됐다.

앞서 쿠팡은 개보위의 권고에 따라 정보가 유출된 고객들에게 “결제 및 로그인 정보, 공동현관 비밀번호, 이메일, 주문목록은 유출되지 않았음을 확인했다”고 안내한 바 있다.

개인정보의 세부적인 최종 유출 규모는 이번 기술 조사 결과를 바탕으로 개인정보보호위원회에서 확정할 계획이다.

정부는 조사 과정에서 드러난 쿠팡의 조직적 대응 부실에 대해서도 법적 조치를 예고했다. 쿠팡은 침해 사고를 인지한 지 약 50시간이 지나서야 신고해 ‘24시간 이내 신고’ 규정을 위반했다. 또 과기정통부의 자료보전 명령에도 불구하고 웹 및 애플리케이션 접속 기록(로그)을 삭제해 사고 원인 분석을 방해한 사실이 드러났다.

이에 따라 과기정통부는 신고 지연에 대해 3000만원 이하의 과태료를 부과할 예정이다. 자료보전 명령 위반 혐의에 대해서는 수사기관에 수사를 의뢰했다.

해롤드 로저스 쿠팡 대표이사가 서울 마포구 서울경찰청 반부패수사대에 조사를 받기 위해 출석하고 있다. 임세준 기자


범인은 ‘내부 퇴직자’, 영어로 2차례 협박 메일


조사 결과 공격자는 쿠팡의 전직 소프트웨어(SW) 개발자다. 재직 당시 이용자 인증 시스템 설계·개발 업무를 수행했으며, 자신이 관리하던 ‘서명키’를 탈취해 전자 출입증을 위조하는 방식으로 내부망에 무단 접속했다. 쿠팡은 서명키를 보안 시스템이 아닌 개발자 노트북에 저장(하드코딩)해뒀고 해당 직원이 퇴사한 후에도 이를 갱신하지 않고 방치하는 등 관리 부실이 심각했던 것으로 드러났다.

이 범인은 지난해 11월 16일과 25일 두 차례에 걸쳐 한국어가 아닌 영어로 협박 메일을 보낸 것으로 확인됐다. 유출한 정보 일부를 영어 이메일 본문에 기재하는 대범함도 보였다. 이는 범인이 한국인이 아닌 외국인, 특히 중국 국적자라는 의혹을 뒷받침하는 정황으로도 풀이될 수 있다.

그러나 정부는 범인의 구체적 신원과 국적을 공개하지 않았다. 조사단은 기자들과 질의응답에서도 이번 사건에 퇴사한 중국인 직원 연루 여부를 묻는 말에 “경찰이 수사할 영역”이라고 일축했다. 이 때문에 정부가 한중 간 외교적 관계를 고려해 말을 아끼는 것 아니냐는 반응이 나온다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. [연합]


2차 피해는 ‘미확인’…美 의회 청문회 의식했나


정부는 쿠팡 개인정보 유출에 따른 2차 피해는 아직 확인되지 않았다고 밝혔다. 쿠팡 침해 사고는 “인증체계 관리 소홀의 문제”라며 “지능화된 (외부) 공격으로 보기 어렵다”는 입장도 내놨다. 이번 조사의 초점이 사고 원인 분석과 재발 방지 방안 마련에 맞춰져 있는 것으로 관측되는 대목이다.

개인정보보호법 위반 여부도 명확하게 공개되지 않았다. 개보위가 해당 법에 따른 개인정보 유출 규모와 위법 여부 등을 조사하고 있다는 이유다. 사실상 개보위가 구체 유출 규모와 위법성 여부에 관해 최종 결론을 낼 것이란 점을 시사한 것으로 풀이된다.

정부의 이번 조사 결과 발표가 기존에 나온 의혹들을 완전히 해소하지 못하면서 이달 23일(현지시간)로 예정된 미국 하원 청문회를 의식한 것 아니냐는 해석도 나온다. 미 하원 법사위는 지난 5일 쿠팡 사태와 관련해 한국 정부의 ‘차별’을 주장하며 해롤드 로저스 쿠팡 임시 대표에게 보낸 소환장을 공개한 바 있다.

이와 관련해 조사단은 “이번 쿠팡 조사 일정은 외부 변수와는 무관하다”고 반박했다. 그러면서도 조사 과정에서 “어떤 기업도 차별한 적이 없다”며 “결과는 나오는 대로 투명하게 공개한다는 원칙을 분명히 밝혔고 그대로 실천했다”고 강조했다.