[뉴스토마토 동지훈 기자] 쿠팡의 모회사 쿠팡Inc가 민관합동조사단이 발표한 내용과는 결이 다른 주장을 펼쳤습니다. 개인정보를 유출한 공격자가 들여다본 정보만 1억5000만건에 달한다는 조사단 내용을 반박하면서 실제로는 2069개 계정에 대한 접근만 있었다는 내용이 핵심입니다.

 

쿠팡Inc는 10일 오후 입장문을 내고 "민관합동조사단 보고서는 (정보 유출) 전 직원이 공용 현관 출입 코드에 대해 5만건의 조회를 수행했다고 기재하면서도 해당 조회가 실제로는 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과를 누락하고 있다"고 밝혔습니다.

 

이 주장은 정부가 발표한 내용과는 다릅니다. 과학기술정보통신부는 이날 정부서울청사에서 민관 합동 조사 결과 쿠팡 전 직원이 유출한 개인정보가 3300만건 이상이며, 범인이 들여다본 배송지 주소 등의 정보가 1억5000만건에 달한다고 발표했습니다.

 

민간합동조사단이 1억5000만건이라는 숫자를 특정하면서 사용한 단어는 '조회'입니다. 쿠팡 전 직원이 1억4000만회가 넘는 정보를 조회했고, 조회가 정보 유출을 뜻한다는 게 조사단 주장입니다.

 

쿠팡Inc는 조사단 발표 내용에 선을 그었습니다.

 

쿠팡Inc는 "민관합동조사단과 개인정보보호위원회는 회수된 기기 내에 한국 이용자의 개인정보가 저장돼 있지 않음을 확인하는 포렌식 분석 결과도 보유하고 있다"면서 "모든 포렌식 증거는 약 3000개 계정의 사용자 데이터를 저장한 후 이를 삭제했다는 전 직원의 선서 자백 진술과 일관되게 부합한다"고 일축했습니다.

 

고객 정보 유출에 따른 2차 피해 가능성에 대해선 조사단과 쿠팡Inc가 같은 목소리를 냈습니다.

 

조사단은 이날 "2차 피해는 없었다"고 확언했고, 쿠팡Inc도 "쿠팡 개인정보 사고로 인한 2차 피해의 어떤 증거도 확인되지 않았다"고 강조했습니다.

 

쿠팡Inc는 또 "다수의 독립 인터넷 보안 전문 업체가 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등을 모니터링한 결과를 주간 단위로 쿠팡에 전달하고 있다"고도 덧붙였습니다.

 

입장문에는 금융 정보 등 민감한 내용이 유출되지 않았다는 내용도 담겼습니다.

 

쿠팡Inc는 "전 직원은 결제·금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보(Highly Sensitive Customer Information)에 접근하지 않았다"고 단언했습니다.

 

그러면서 "이는 클라우드 플랫폼 제공 업체인 아카마이(Akamai)의 보안 로그를 통해 검증됐다"며 "해당 로그는 202년 12월8일 민관합동조사단과 개인정보보호위원회에 전달됐다"고 설명했습니다.

 

동지훈 기자 jeehoon@etomato.com