쿠팡 개인정보 유출 관련 민관합동조사 결과가 발표되자 쿠팡은 "주요 내용이 누락됐다"며 반박에 나섰다. 

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동조사단 조사 결과를 잠정 발표했다. 조사 결과, 쿠팡 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 등 3367만여 건의 개인정보가 유출된 것으로 파악됐다.

조사단은 지난해 11월 29일부터 남아 있는 웹 접속 기록 25.6TB 분량, 총 6642억 건의 데이터를 분석해 유출 규모를 산정했으며, 초기 추정치였던 3370만 건보다 소폭 줄어든 수치라고 설명했다. 다만 쿠팡이 최근 추가로 밝힌 16만5000여 계정 유출 건은 이번 조사 결과에 포함되지 않았다.

조사단은 “웹 접속 기록 등을 기반으로 유출 규모를 산정했으며, 정확한 개인정보 유출 규모는 향후 개인정보보호위원회에서 확정해 발표할 예정”이라고 밝혔다.

‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 비식별화된 공동현관 비밀번호가 포함된 개인정보가 1억4800만여 차례 조회된 것으로 확인됐다. 이 과정에서 계정 소유자뿐 아니라 가족·지인 등 제3자의 개인정보도 다수 포함된 것으로 나타났다.

공동현관 비밀번호는 ‘배송지 목록 수정 페이지’를 통해 5만여 건 조회됐고, 최근 주문 상품 정보가 담긴 ‘주문 목록 페이지’는 10만여 차례 조회됐다.

다만 결제 정보는 유출 대상에 포함되지 않았으며, 주소와 공동현관 비밀번호 등 민감 정보가 실제 2차 피해로 이어졌는지는 확인되지 않았다.

조사단은 범행에 사용된 것으로 추정되는 공격자 PC 저장장치 4대와 재직 중이던 쿠팡 개발자의 노트북을 포렌식 조사했지만, 유출된 정보가 외부 클라우드 서버로 실제 전송됐는지는 확인하지 못했다고 밝혔다.

범인은 쿠팡 재직 당시 이용자 인증 시스템을 담당했던 개발자로, 지난해 1월부터 인증 취약점을 시험한 뒤 4월 중순부터 자동화된 웹 크롤링 도구를 이용해 개인정보를 수집한 것으로 조사됐다. 다수의 IP가 공격에 사용된 정황도 확인됐다.

조사단 관계자는 “공격자의 국적이나 단독 범행 여부는 경찰 수사 사안”이라며 구체적인 신원에 대해서는 언급을 피했다.

조사단은 쿠팡이 인증 취약점을 악용한 비정상 접속을 인지하지 못했고, 사전 모의 해킹에서 지적된 ‘전자 출입증(토큰)’ 관리 취약점도 개선하지 않았다고 지적했다.

또 쿠팡이 침해 사고를 인지하고도 24시간 내 신고 규정을 위반한 점에 대해 과태료를 부과할 계획이며, 자료 보전 명령을 이행하지 않아 일부 접속 기록이 삭제된 사안에 대해서는 수사를 의뢰했다.

과기정통부는 쿠팡에 인증키 관리 강화와 비정상 접속 탐지 체계 보완을 요구하고, 이달 중 재발 방지 대책 이행 계획을 제출받아 오는 7월까지 점검할 방침이라고 밝혔다.

하지만 쿠팡 모회사 쿠팡Inc는 정부 민관합동조사단의 개인정보 유출 조사 결과에 대해 “주요 내용이 누락됐다”며 공개 반박에 나섰다.

쿠팡Inc는 입장문을 통해 전 직원이 공용현관 출입코드를 5만 건 조회했다는 조사 결과와 관련해 “실제 접근은 2609개 계정에 한정됐다는 내부 검증 결과가 보고서에서 빠졌다”고 주장했다.

앞서 과학기술정보통신부는 쿠팡 전 직원이 유출한 개인정보가 3300만 건을 넘고, 배송지 주소 등 조회 건수가 1억5000만 건에 달한다고 발표했으며, 조사단은 “조회가 곧 유출을 의미한다”고 설명했다.

이에 대해 쿠팡Inc는 회수된 기기에 대한 포렌식 분석 결과 “한국 이용자 개인정보가 저장돼 있지 않은 것으로 확인됐다”며 “유출자가 약 3000개 계정의 사용자 데이터를 저장한 뒤 삭제했다고 진술한 내용과도 부합한다”고 밝혔다.

또 다수의 보안 전문 업체가 다크웹과 텔레그램 등을 모니터링한 결과 “현재까지 2차 피해 증거는 확인되지 않았다”고 주장했다.

쿠팡Inc는 결제·금융정보나 사용자 ID·비밀번호, 정부 발급 신분증 등 고도 민감 정보에는 접근하지 않았으며, “클라우드 서버로 실제 데이터 전송이 이뤄졌다는 증거도 없다”고 강조했다.