▲쿠팡 배송 차량 모습/사진=자료

[토요경제 = 최성호 기자]  대규모 개인정보 유출 논란과 관련해 쿠팡이 “전직 직원의 단독 범행으로, 실제 저장된 고객 정보는 3천여 건에 불과하고 외부 전송은 없었다”고 발표했지만, 정부는 “민관합동조사단에서 확인되지 않은 일방적 주장”이라며 공식 검증이 끝나지 않았다는 입장을 밝혔다.

쿠팡은 25일 보도자료를 내고 디지털 지문(digital fingerprints) 등 포렌식 증거를 통해 개인정보를 유출한 전직 직원을 특정했으며, 해당 직원이 범행 전반을 자백하고 고객 정보 접근 및 탈취 방식, 사용 장비를 구체적으로 진술했다고 밝혔다. 

쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 고객 계정 약 3천300만 개의 기본 정보에 접근할 수 있었으나, 이 가운데 실제로 개인용 PC에 저장한 정보는 약 3천 개 계정에 그쳤다.

저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문 정보와 함께 공동현관 출입 번호 2천609개가 포함돼 있었다. 쿠팡은 유출자가 언론 보도를 접한 직후 극도의 불안 상태에 빠져 저장돼 있던 고객 정보를 모두 삭제했으며, 제3자에게 외부로 전송된 데이터는 없었던 것으로 조사됐다고 설명했다.

유출자는 범행에 개인용 데스크톱 PC와 맥북 에어 노트북을 사용했다고 진술했으며, 포렌식 조사 결과 해당 장치와 하드디스크 드라이브 4개에서 실제 공격에 사용된 스크립트가 발견됐다고 쿠팡은 밝혔다. 

또 유출자가 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 찍힌 에코백에 벽돌을 넣어 하천에 유기했다고 진술했고, 이에 따라 잠수부를 동원한 수색 끝에 해당 기기를 회수했으며 노트북 일련번호가 유출자의 아이클라우드 계정에 등록된 번호와 일치하는 점도 확인됐다고 설명했다.

쿠팡은 사건 초기부터 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영 등에 의뢰해 포렌식 조사를 진행했고, 유출자의 진술 역시 검증했다고 밝혔다. 쿠팡은 “현재까지 조사 결과는 유출자의 진술과 부합하며, 모순되는 증거는 발견되지 않았다”고 강조했다.

그러나 정부의 입장은 다르다. 정부 관계자는 “쿠팡이 주장하는 내용은 민관합동조사단에 의해 공식적으로 확인되지 않았다”며 “기업의 자체 조사와 진술에 근거한 일방적 발표로 봐야 한다”고 밝혔다. 

쿠팡은 지난 17일 유출자의 진술서 제출을 시작으로 관련 장치와 자료를 확보되는 즉시 정부에 제출해 왔다고 설명했지만, 정부는 아직 최종 검증이 이뤄지지 않았다는 판단이다.

한편 경찰은 별도로 강제 수사에 나섰다. 서울경찰청 사이버수사과는 쿠팡 본사를 압수수색하고 관련 자료를 확보해 유출 경위와 관리 책임, 추가 피해 여부 등을 조사하고 있다. 

사건 초기 진술 확보와 포렌식 분석을 쿠팡이 주도한 점을 두고도, 수사와 검증의 주체를 둘러싼 논란이 이어지고 있다.

쿠팡은 이날 “이번 개인정보 유출로 국민들께 큰 걱정과 불편을 끼쳐드린 점에 대해 책임을 통감한다”며 “진심으로 사과드린다”고 밝혔다. 이어 “향후 조사 경과에 따라 지속적으로 안내하고, 이번 사태로 인한 고객 보상 방안도 조만간 별도로 발표할 것”이라고 했다.

[저작권자ⓒ 토요경제. 무단전재-재배포 금지]