이에 대해 정부 민관합동조사단은 “확인되지 않은 사실”이라며 강하게 항의하고 나섰다. 피해 규모와 유출 경로가 윤곽을 드러낸 가운데, 이번 고객정보 유출 사태는 과열된 불안 국면에서 정부와 쿠팡 간 진실 공방 국면으로 번져가는 모양새다.
25일 쿠팡은 이 같은 내용을 담은 입장문을 발표했다. 지난달 29일 대규모 유출 사태가 불거진 이후 약 한 달 만이다. 이날 공개된 입장문에는 쿠팡이 사태 수습 과정에서 유출자를 특정하고 자체적으로 조사·파악한 내용이 담겼다.
쿠팡은 디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전 직원을 특정했다고 밝혔다. 해당 직원은 범행 일체를 자백했으며, 고객 정보에 접근한 방식과 경위를 구체적으로 진술한 것으로 전해졌다.
진술에 따르면 유출자는 탈취한 보안 키를 이용해 고객 계정 정보 약 3300만 개에 접근했다. 다만 실제 저장한 정보는 약 3000개였고, 이 가운데 공동현관 비밀번호 정보는 2609개에 그쳤다. 결제 정보나 로그인 정보, 개인통관고유부호 등에 대한 접근은 없었으며 외부로 전송된 데이터도 없다는 것이 쿠팡의 설명이다.
유출에 사용된 모든 장치와 하드드라이브는 회수돼 현재 안전하게 확보된 상태라고 설명했다. 유출자는 사건 보도 이후 범행에 사용한 노트북을 물리적으로 파손해 인근 하천에 버렸다고 진술했으며, 쿠팡은 잠수부를 동원해 해당 하천에서 문제의 노트북을 회수했다. 진술 내용을 종합하면, 당초 알려졌던 외국인이 아닌 내국인 소행일 가능성도 제기된다.
쿠팡은 사건 초기부터 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰했다고 밝혔다. 현재까지 진행된 포렌식 조사 결과 역시 유출자 진술과 부합한다는 입장이다.
이 같은 쿠팡의 조사 결과 발표를 두고 정부와의 입장 차는 뚜렷해지고 있다. 과학기술정보통신부는 이날 보도설명자료를 통해 “민관합동조사단에서 조사 중인 사안을 쿠팡이 일방적으로 대외에 공개한 데 대해 강력히 항의했다”며 “쿠팡의 주장 사항은 민관합동조사단에 의해 확인된 바 없다”고 밝혔다. 유출자 신원을 특정하고도 경찰이나 민관합동조사단이 아닌 자체 조사에 착수한 배경 역시 확인되지 않았다는 설명이다.
반면 쿠팡은 “지난 17일 유출자 진술서 제출을 시작으로 관련 장치와 자료 일체를 확보하는 즉시 정부에 제출해 왔다”며 “현재 진행 중인 정부 기관 조사에도 성실히 협조하고 있다”고 반박했다. 지난 17일은 국회 과학기술정보방송통신위원회 주도로 ‘쿠팡 청문회’가 열린 날이다. 이후 정부는 지난 23일 쿠팡 사태 대응을 위한 범부처 태스크포스(TF)를 가동했다. 쿠팡은 진전된 중간 조사 결과를 공유받고도 이를 공개하지 않은 채 이유를 정부에 되묻는 셈이다.
정부·국회로부터 전방위 압박을 받아온 쿠팡이 자체 조사 결과를 전면 공개하면서 이번 사태는 정부와 기업 간 책임과 판단을 둘러싼 공방으로 확전될 가능성이 커졌다. ‘미국 기업’ 정체성을 드러내며 안일한 대응이라는 비판을 받아온 쿠팡이 이번 발표를 계기로 국면을 반전시킬 수 있을지 주목된다. 반대로 쿠팡의 발표에 정부가 이례적으로 항의한 만큼 쿠팡에 대한 압박이 더욱 거세질 가능성도 점쳐진다.
염흥열 순천향대 교수는 “쿠팡의 발표 내용이 사실이라면 불행 중 다행”이라며 “공신력 있는 글로벌 보안 업체들이 언급된 점을 고려하면 사실에 근거했을 가능성이 높다”고 말했다. 이어 “민관합동조사단이 쿠팡 측 조사 결과를 토대로 보다 정확한 사실관계를 확인해야 할 시점”이라고 덧붙였다.
민경하 기자 maxkh@etnews.com, 박지성 기자 jisung@etnews.com
