[뉴스토마토 이혜현 기자] 쿠팡 전 직원이 유출한 개인정보가 3367만건에 달하는 것으로 나타났습니다. 범인이 들여다본 배송지 주소 등 정보는 1억4800만건에 달하는 것으로 파악됐는데요. 지난해 말 “유출된 개인정보가 3000건에 불과하다”고 발표했던 쿠팡의 해명과 달리 천문학적인 피해 규모가 드러난 겁니다.
10일 정부 당국에 따르면 쿠팡 전 직원이 유출한 개인정보 유출 피해 규모는 3367만건에 달합니다. 이는 계정 기준으로 산정된 수치로, 배송지 정보에 포함된 제3자 개인정보와 추가 유출 신고 16만여건이 반영되지 않은 수치입니다. 이에 따라 최종 피해 규모는 정부가 공식 발표한 수치를 웃돌 가능성도 제기됩니다.
지난주 16만5000건의 쿠팡의 고객 개인정보가 추가로 유출된 사실이 드러났습니다. 셀프 조사를 벌이며 개인정보 유출 규모가 3000건이라며 피해를 축소하기 급급했던 쿠팡이 16만여건에 달하는 추가 유출 사실이 드러나자 태도를 바꿨습니다. 쿠팡은 피해 고객들에게 문자를 통해 "지난 11월 발생했던 것과 동일한 개인정보 유출 사건에서 약 16만5000여건 계정의 추가 유출이 확인됐다"고 통지했습니다. 이는 유출자가 저장, 삭제한 고객 개인정보 규모가 3000건이라고 발표한 자체 조사 결과가 잘못됐음을 시인한 셈입니다. 쿠팡의 오락가락 해명에 셀프 조사 결과를 신뢰하기 어렵다는 비판은 더 거세지고 있습니다.
앞서 쿠팡은 지난해 12월25일 공격자를 조사해 포렌식으로 검증한 결과 발표하면서 "유출자는 단독으로 범행을 저질렀고, 3000개 계정의 제한적인 고객 정보를 개인 데스크톱 PC와 맥북 에어 노트북에만 저장했다"고 밝혔습니다. 이어 "이 정보는 외부로 전송된 적이 없고, 고객 정보를 모두 삭제했다"라는 공격자의 진술도 덧붙였습니다.
하지만 이번 민관합동조사 결과로 인해 쿠팡의 셀프 조사 과정과 결과 발표에 대한 신빙성뿐 아니라, 해롤드 로저스 쿠팡 한국법인 임시대표를 비롯한 핵심 임직원들의 국회 진술에도 중대한 타격을 주고 있습니다.
로저스 대표는 지금까지 두 차례 경찰 소환조사를 받았습니다. 그는 셀프 조사 과정에서 증거를 인멸하고, 국회 청문회에서 위증을 했다는 혐의를 받고 있습니다. 로저스 대표는 지난해 12월30~31일 국회 연석 청문회에서 "셀프 조사는 정부 협조 아래 진행됐고, 개인정보 유출 용의자 접촉은 국가정보원 지시에 따른 것"이라고 주장했습니다. 하지만 국정원은 쿠팡의 주장이 사실이 아니라고 즉각 반박했고, 국회는 로저스 대표 등 쿠팡 임직원 7명을 위증 혐의로 고발했습니다.
이와 함께 쿠팡이 유출 피의자가 중국 하천에 버린 노트북 증거물을 직접 회수해 포렌식한 뒤 경찰에 제출한 사실도 논란이 됐습니다. 이를 두고 쿠팡이 자체 조사 과정에서 증거물을 의도적으로 훼손해 피해 규모를 축소한 것이 아니냐는 의혹이 제기됐습니다. 게다가 정부가 자료 보전을 요구했음에도 불구하고 5개월치 접속 로그 데이터가 사라졌다는 의혹도 해소되지 않았습니다.
셀프 조사 과정과 진위를 두고 쿠팡과 정부의 주장이 극명하게 엇갈리는 가운데 이번 민관합동조사 결과는 쿠팡 측이 주장하는 피해 규모와 괴리가 큽니다. 이를 두고 쿠팡이 위증과 거짓 해명으로 자충수를 뒀다는 비판이 고조되고 있습니다.
한편 이날 과학기술정보통신부 민관합동조사단 발표에 대해 쿠팡 측은 공식 입장을 내지 않고 있습니다.
이혜현 기자 hyun@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 강영관 산업2부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지