쿠팡, 사과 대신 "셀프조사 누락" 반발…정부 "3367만건 털렸다"

[파이낸셜뉴스] 지난해 쿠팡 개인정보 유출 사태로 이름·이메일 등 이용자 정보 3367만여건이 유출됐다는 정부 조사 결과가 나온 뒤 쿠팡의 모회사인 쿠팡Inc가 공식 입장을 내놨다.

민관합동조사단의 조사와 관련해 공동현관 출입코드(비밀번호) 유출 규모를 두고 일부 사실관계가 정부 발표에서 누락됐다는 게 이들의 주장이다.

과학기술정보통신부는 10일 정부서울청사에서 브리핑을 열고 이 같은 내용이 담긴 쿠팡 침해사고에 대한 합조단 조사 결과를 발표하면서 전 직원이 공동현관 출입 코드에 대해 5만건의 조회를 수행했다고 밝혔다.

쿠팡Inc도 지난해 정보 유출 사고를 발표할 당시 중국 국적의 전 직원이 자체 제작한 프로그램을 이용해 약 1억4000만회의 자동 조회를 수행하며 3300만개 이상의 고객 계정에 접근했다고 밝힌 바 있다.

이후 공동현관 출입 코드가 포함된 계정은 2609건으로 확인됐고 실제로 저장된 사용자 정보는 약 3000건에 불과하다는 주장을 내놨다.

이를 근거로 쿠팡Inc는 “아카마이(Akamai) 보안 로그 및 사용자 데이터 분석 결과, 공동현관 출입 코드가 포함된 계정은 2609건으로 확인됐다"면서 "해당 분석 자료는 지난해 12월 23일 개인정보보호위원회와 조사단에 공유됐다"고 주장했다.

쿠팡Inc는 또 전 직원이 사용한 기기를 모두 회수했고 확보된 포렌식 증거가 그의 선서 자백 진술과 일치한다고도 했다.

회수된 기기 안에 한국 이용자의 개인정보가 저장돼 있지 않다는 분석 결과를 합조단과 개인정보위가 보유하고 있다는 부분도 알렸다.

쿠팡Inc는 공동현관 출입 코드 일부와 함께 이름, 이메일, 전화번호, 배송지 주소, 제한적 주문 내역에는 접근이 있었다면서도 결제 정보, 금융 정보, ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 정보에는 접근하지 않았다는 것도 강조했다.

그러면서 "이 역시 아카마이 보안 로그를 통해 검증됐다. 해당 로그는 2025년 12월 8일 민관합동조사단과 개인정보보호위원회에 전달됐다"고 했다.

쿠팡Inc는 “독립 보안 전문기업 CNS의 최신 분석 결과 2차 피해의 어떤 증거도 확인되지 않았다”며 “데이터 유출 발생 시점부터, 현재까지 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등 모니터링한 결과를 받고 있으며 2차 피해와 연관된 다크웹 활동은 단 한 건도 없다”고 주장했다.

쿠팡Inc가 이 같은 입장문을 낸 걸 두고 미 하원 법사위 출석과 미국 내 소송 가능성을 염두에 둔 대응이라는 해석이 나오기도 했다.

미 하원 법사위는 지난 5일(현지시간) 쿠팡 사태와 관련해 한국 정부의 차별을 주장하며 해롤드 로저스 쿠팡 임시 대표에게 보낸 소환장을 공개했다. 이에 로저스 임시 대표는 오는 23일 미국 하원 법사위에 출석한다.

y27k@fnnews.com 서윤경 기자