[파이낸셜뉴스] 정부가 쿠팡 개인정보 유출 사고에 대한 민관합동조사 결과를 발표했지만, 핵심 쟁점이었던 '외부 전송' 여부와 관련해서는 끝내 명확한 결론을 내리지 못하면서 조사 한계가 드러났다는 지적이 나온다. 공격자가 고객 정보를 외부로 전송했다는 증거 역시 확인되지 않으면서, 결과적으로 쿠팡의 기존 자체 조사 결과와 크게 다르지 않다는 평가도 함께 제기된다.
과학기술정보통신부를 중심으로 한 민관합동조사단은 10일 쿠팡 침해사고 조사 결과를 발표하고 “공격자가 유출 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능은 확인했지만, 실제 전송 여부는 관련 기록이 남아 있지 않아 확인할 수 없다”고 밝혔다.
조사단은 쿠팡으로부터 제출받은 공격자 PC 저장장치(HDD 2대, SSD 2대)와 재직 중인 쿠팡 개발자 노트북에 대한 포렌식 분석을 병행했지만, 논란이 된 '3000개 계정 외부 저장'과 관련해 실제 클라우드 등 외부 전송 흔적은 확인하지 못했다고 설명했다.
앞서 쿠팡은 지난해 12월 25일 자체 조사 결과를 통해 공격자가 단독으로 범행을 저질렀고, 약 3000개 계정의 제한적인 고객 정보를 개인 PC와 노트북에만 저장했으며 외부로 전송하지 않았다고 발표했다.
배경훈 과기부 장관은 당시 국회 청문회에서 추가 유출 및 외부 저장 가능성까지 모두 조사해야 한다고 밝히며 민관합동조사 착수를 예고했지만, 이번 발표에서도 외부 전송 여부는 확인되지 않았다.
업계 일각에서는 "이번 조사 결과가 쿠팡의 기존 설명과 결과적으로 큰 차이는 없다는 해석도 나온다"면서도 "이는 외부 전송이 없었다고 단정하기보다는 정부 조사에서도 확인 가능한 외부 유출 증거를 확보하지 못했다는 수준으로 봐야 한다"는 시각도 적지 않다.
보안 분야에서는 정부가 공격자를 직접 조사하지 못한 상황에서 포렌식 분석만으로 외부 전송 여부를 규명하는 데 한계가 있다는 지적도 제기된다. 이에 따라 3367만 건에 달하는 개인정보가 실제 외부로 유출됐는지 여부는 이번 조사에서도 명확히 규명되지 못한 채 남았다는 평가가 나온다.
clean@fnnews.com 이정화 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지