수사결과가 가져올... 오만했던 쿠팡이 감당해야 할 댓가
"3,367만 건 유출 확인"‥쿠팡은 끝까지 발뺌?
[뉴스외전]
◀ 앵커 ▶
쿠팡 개인 정보 유출 사고에 대한 민관 합동조사 결과가 나왔네요?
◀ 기자 ▶
그렇습니다.
조사단이 지난 2024년 11월 29일부터 지난해 12월 31일까지의 쿠팡 접속 기록을 분석했다고 밝혔는데요.
'내 정보 수정 페이지'에서 이름·이메일 정보 3,367만여 건이 유출된 것으로 드러났습니다.
당초 정부가 추산한 3,370만 건과 유사한 수치입니다.
이번 사태는 쿠팡에서 인증 시스템 개발 업무를 담당하던 중국 국적의 전 직원 A 씨가 이용자 개인정보를 유출하면서 터졌는데요.
A 씨는 배송지 목록 페이지를 1억 4천만 번 넘게 조회한 것으로 조사됐습니다.
조사단 발표 내용 들어보겠습니다.
[최우혁/과기부 정보보호 네트워크 정책실장 (어제)] "성명, 전화번호, 배송지, 주소, 특수 문자로 비식별화된 공동 현관 비밀번호가 포함된 배송지 목록 페이지를 1억 4천800만(4천805만 6,502회) 조회하여 정보가 유출되었음을 확인하였습니다."
배송지 목록에는 물건을 배송받을 때 필요한 정보들이 저장돼 있는데, 가족이나 친구 등 다른 사람에게 물건을 보낸 적이 있다면 그 상대 정보까지 유출된 셈입니다.
이런 제3자까지 포함하면 정보 유출 대상자 범위가 더 늘어날 가능성이 큰데요.
정확한 개인정보 유출 규모는 개인 정보위가 최종 발표할 예정입니다.
◀ 앵커 ▶
이렇게 엄청난 규모의 정보가 유출되는 동안 쿠팡은 전혀 몰랐다는 겁니까?
◀ 기자 ▶
A 씨는 쿠팡에서 보안 인증 업무를 할 당시 갖고 있던 서명키를 퇴직하며 가지고 나갔고요.
이걸로 위조 전자 출입증을 만들었습니다.
출입이 가능한지 작년 1월 테스트를 했고, 4월부터 7달 동안에는 2천3백여 개 IP로 정보 유출을 했습니다.
하지만 쿠팡은 A 씨가 테스트를 할 때부터 실제 공격을 할 때까지 11달 동안 한 번도 눈치를 채지 못했습니다.
A 씨는 지난해 11월 16일과 25일 두 차례 쿠팡 측에 정보 유출을 알리는 이메일을 보내기도 했습니다.
조사단은 이번 사태가 분명히 관리의 문제라며 지능화된 공격으로 보기는 어렵다고 했습니다.
◀ 앵커 ▶
정보 유출이 있었을 당시에 2차 피해 우려가 많이 나왔습니다.
이 부분에 대한 조사 결과도 나왔나요?
◀ 기자 ▶
현재까지 개인정보 유출로 인한 2차 피해는 확인되지 않았다는 게 조사단의 설명입니다.
A 씨의 공격 스크립트에는 유출한 개인정보를 해외 클라우드로 전송하는 기능이 포함돼 있었다고 합니다.
하지만 접속 기록이 남아있지 않아 실제 전송 여부는 확인하지 못했습니다.
◀ 앵커 ▶
그런데 쿠팡은 처음부터 정보 유출이 아니라 노출이라고 했고, 유출된 개인정보가 3,000건에 불과하다는 셀프 조사를 발표할 만큼 축소에 급급했잖아요.
이번 조사단 결과에 대해서는 어떤 입장입니까?
◀ 기자 ▶
쿠팡 모회사인 쿠팡Inc가 어제 오후 입장문을 냈는데요.
이번에도 정부 발표에 일부 사실관계가 누락됐다, 유출된 정보의 범위는 한정적이고 민감한 정보는 아니었다는 점을 강조했습니다.
입장문 내용을 보면요.
"조사단 보고서는 유출자가 공동현관 출입 코드에 대해 5만 건 조회를 수행했다고 기재하면서도 실제로는 단 2,609개 계정에 대한 접근에 한정된 것이라는 검증결과는 누락했다",
"유출자가 배송지 목록을 1억 4천800만 회 넘게 조회한 것과 관련해서도 스스로 작성한 소프트웨어 프로그램으로 자동 조회를 한 것이다",
"유출자는 결제 정보, 금융 정보, 비밀번호, 정부 발급 신분증 등 민감한 고객 정보에는 접근하지 않았다"는 주장입니다.
또 유출 정보가 추가로 제3차에 의해 열람되거나 활용된 정황은 없다고도 밝혔습니다.
그러면서 대한민국 국민은 진실을 알 권리가 있다고 강조 문구도 붙였는데요.
지난 청문회에서 해롤드 로저스 대표가 국정원 지시에 따라 노트북 회수하고 포렌식 했는데 왜 한국 국민에게 알리지 않느냐고 따져 묻던 장면이 생각나는 문구입니다.
쿠팡Inc가 이렇게 직접 나서서 한국 정부 발표에 반박하는 건 미 하원 법사위 출석과 미국 내 집단소송 가능성을 염두에 둔 것이란 해석이 나옵니다.
◀ 앵커 ▶
쿠팡은 앞으로 어떤 처분을 받게 됩니까?
◀ 기자 ▶
과학기술정보통신부는 개인정보보호위원회의 과징금 결정과 별도로 쿠팡에 대한 과태료 부과와 수사 의뢰에 나섰습니다.
아시다시피 쿠팡은 한국인터넷진흥원에 사고 인지 시점으로부터 24시간이 지나서 신고를 했습니다.
침해 사고 신고 지연에 대한 과태료는 3천만 원 이하입니다.
이와 함께 정부는 사고원인 분석을 위해 신고 당일 자료 보전을 명령했지만, 쿠팡이 이를 수행하지 않아서 2024년 7월부터 약 5개월간의 웹 접속 기록 등이 삭제됐습니다.
정부는 자료 보전 명령 위반 혐의와 관련해 수사를 의뢰한 상태입니다.
◀ 앵커 ▶
오늘 과기부총리가 다시 한번 쿠팡의 주장을 정면 반박했죠?
◀ 기자 ▶
네 그렇습니다.
오늘 국회에서 과기정통부 업무보고가 있었는데요.
배경훈 부총리는 쿠팡이 3천 건만 유출했다는 보고서를 냈는데 3천367만 건을 하드디스크에 저장할 수도 있고, 클라우드에 할 수도 있는데, 이런 부분에 대해 쿠팡이 명확히 이야기하고 있지 않다고 지적했습니다.
그러면서 합동 조사단이 발표하기 전 쿠팡 코리아 측에 조사 결과를 확인시켰다고 했는데요.
그런데 쿠팡 본사에서는 좀 다른 내용을 이야기하고 있는 것이고 쿠팡이 기업의 이익과 미국 주주를 보호하기 위해 대응을 하고 있다, 여러 로비도 이뤄지고 있다고 생각한다고 밝혔습니다.
앞서 미국 하원 법사위원회가 쿠팡 사태와 관련해 한국 정부가 차별하고 있다고 주장한 일이 있었는데요.
이에 대해 배 부총리는 법과 원칙에 따라 조사를 진행했고 차별적인 조치가 없었다면서 미국 정부와 한국 정부의 입장에 대해 계속 소통하고 있다고 덧붙였습니다.
◀ 앵커 ▶
네, 쿠팡 대처에 대한 비판은 계속될 것 같습니다.
문소현 기자(msh@mbc.co.kr)
[쿠팡 개인정보 유출사건에 대한 민관합동조사단의 결과]
쿠팡 전 직원이 저지른 한국인 개인정보 유출사건에 대해 민관합동조사단으로부터 결과가 나왔습니다.
[최우혁/과기부 정보보호 네트워크 정책실장 (어제)] "성명, 전화번호, 배송지, 주소, 특수 문자로 비식별화된 공동 현관 비밀번호가 포함된 배송지 목록 페이지를 1억 4천800만(4천805만 6,502회) 조회하여 정보가 유출되었음을 확인하였습니다."
'내 정보 수정 페이지'에서 이름·이메일 정보 3,367만여 건이 유출된 것으로 드러났습니다.
당초 정부가 추산한 3,370만 건과 유사한 수치입니다.
이 결과는 민관합동조사단은 수사를 할 수 있는 법적 권한을 가지고 있습니다. 따라서 이 결과는 공신력을 얻게 되며 이를 근거로 개인정보보호법 위반을 포함한 다양한 처벌이 쿠팡에게 내려질 예정입니다.
가해자인 중국인은 현재 중국에 체류중인 것으로 알려져 있습니다. 이 결과를 근거로 인터폴에 적색수배를 내리면 중국 공안당국이 잡아서 인계를 해주던가 해외로 나갈 시 현지 경찰에 요청하여 체포한 뒤 국내로 압송할 수 있게 됩니다.
[조사결과에 대한 쿠팡의 입장]
민관합동조사단의 발표에 쿠팡은 입장을 냈습니다.
"조사단 보고서는 유출자가 공동현관 출입 코드에 대해 5만 건 조회를 수행했다고 기재하면서도 실제로는 단 2,609개 계정에 대한 접근에 한정된 것이라는 검증결과는 누락했다"
"유출자가 배송지 목록을 1억 4천800만 회 넘게 조회한 것과 관련해서도 스스로 작성한 소프트웨어 프로그램으로 자동 조회를 한 것이다"
"유출자는 결제 정보, 금융 정보, 비밀번호, 정부 발급 신분증 등 민감한 고객 정보에는 접근하지 않았다"
유출규모를 축소시키는 입장을 냈습니다. 그런데 이런 입장은 사실 쿠팡의 입장이지 공신력을 가진 내용이라 할 수 없습니다. 누가 검증해줄 수 있을까요? 저 내용이 사실이라는 근거는 위의 보도에는 없습니다. 쿠팡이 낸 입장이라는 것 이외엔...
이렇게 결과가 나왔습니다. 쿠팡 가입자 대부분의 개인정보가 유출된 것을 확인했습니다. 그나마 다행인건 2차피해는 아직 발생되지 않았다는게 그나마 위안이라 할 수 있겠죠.
[공신력이 있는 기관의 조사결과를 받는 미국의 반응]
이제 이 결과를 미국측... 미국증권거래위원회와 미의회 청문회에서 다룰 것입니다. 아무리 쿠팡이 로비를 했다 한들... 수사권이 있는 국가기관의 조사결과와 미국회사이긴 하지만 기업의 주장중에 어느쪽에 더 신뢰성이 있을지는 누구나 알 수 있습니다. 거기다 유출피해를 입은 가입자에 대해 보상이라 주장했지만 쿠폰을 줘서 더 소비하게 만드는 모습까지 확인되었을 것으로 예상합니다.
이쯤되면 아무리 미국회사라도 미 의회가 쿠팡을 옹호해줄 이유는 없을 것 같습니다. 차라리 대한민국 수사기관을 압박해서 수사결과를 뒤집도록 할 수도 있겠지만 그건 어디까지나 국가기관의 공권력이 한두사람에 의해 좌지우지되는 독재정권에서나 가능할 일이지 대한민국은 그런 국가는 아니기에 미국으로선 타국의 수사기관을 압박할 이유는 더이상 없습니다.
대신 미국에서 쿠팡의 주식을 사들인 기업이나 개인이 소송을 이어갈 것으로 예상됩니다. 쿠팡의 주가하락으로 인해 피해를 본 쿠팡주식 보유자들이 한국 수사기관에 대해 미국이 나서달라는 요구가 있었지만 이번 수사결과를 확인한다면 쿠팡측 인사가 아니고서는 그 피해는 결국 쿠팡쪽에 잘못이 있다는 것이 명백하기에 입장을 돌려 쿠팡측에 손해배상 청구를 하지 않겠나 예상합니다.
[비슷한 사례.. 하지만 다른 쿠팡의 대응에 대한 댓가]
한국인들의 개인정보 유출사건은 그동안 계속 있었습니다. 기업은 물론 지자체와 공공기관의 유출사건도 있었습니다. 하지만 그런 사건이 벌어진 이후.. 대부분은 잘못을 시인하고 보상을 지급하고 저자세로 한국 국민들에게 용서를 구했습니다.
하지만 쿠팡은 지금까지 유출사건을 저지른 이들과는 다르게 적반하장식으로 대응했습니다. 특히 미국 정계까지 움직여 한국 정부와 수사기관을 압박할려는 시도까지 했던게 쿠팡이었습니다. 이런 쿠팡에 대해 과연 피해를 입은 한국 국민들은 용서를 할진 의문입니다.
물론 그런 와중에도 한국 수사기관에 대해 비난을 하며 쿠팡을 옹호하는 이들도 있습니다. 하지만 그들은 현재 이재명 정권에 대한 불만과 혐중정서에 따른 비난이지... 정작 쿠팡 가입자로서 개인정보 유출 피해가 가시적이라면 아무리 싫어하는 정권과 혐중이더라도 쿠팡을 옹호할진 의문입니다.
그럼에도 지금도 자세를 바꾸지 않은 쿠팡입니다. 그렇게 버티면서 한국에서 대부분의 수익을 얻으면서도 대부분의 수익을 미국 본사로 보내 배당을 하고 정작 한국법인의 소득을 줄여 법인세를 면제받을려 꼼수를 부리고 있지 않을까 예상합니다.
쿠팡의 이런 모습에... 다행히도 한국내 오픈마켓등에선 쿠팡이 하고 있는 서비스를 대체하기 위해 분주히 움직입니다. 그렇게 한국기업이 미국기업의 한국내 독점화를 막고 서비스가 확대되길 기대합니다.
댓글