정부가 10일 쿠팡 전 직원이 연루된 고객정보 유출 사건 조사 결과를 발표하면서 "성명, 이메일 3367만여건 유출이 확인됐다"고 밝혔다. 쿠팡 내부에선 정보유출 규모에 대해선 이견이 없지만 지난해 12월25일 긴급 발표한 자체 조사 결과의 진위 여부에 대해선 검증과 확인 절차가 필요하단 의견이 나온다. 그럼에도 정부는 대규모 정보유출 정황이 분명한 만큼 이 문제를 다투는 건 불필요하단 입장이다.
정부 합동조사단은 이날 쿠팡이 제출한 정보유출범(공격자) PC 저장장치(HDD 2대, SSD 2대) 포렌식 분석 결과를 공개했다. 이에 따르면 공격자는 정보 수집과 외부 서버 전송이 가능한 공격 스크립트를 작성했고, 위변조 '전자 출입증'을 이용해 유출한 정보를 해외 소재 클라우드 서버로 전송할 수 있게 했다.
합동조사단은 고객 정보의 실제 전송 여부에 대해선 "기록이 남아있지 않아 확인할 수 없다"고 설명했다.
지난해 말 쿠팡은 자체 포렌식 조사 결과를 공개하면서 "공격자가 3300만 고객 정보에 접근했지만, PC 저장장치엔 약 3000여개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 저장했다"며 "해당 정보는 공격자가 이번 사태 언론보도를 접한 후 모두 삭제했고, 고객 정보 중 제3자에게 전송된 데이터는 일체 없다"고 밝혔다. 또 "결제정보, 로그인 관련 정보, 개인통관번호에 대한 접근은 없었다"고 덧붙였다.
이번 합동조사단의 발표엔 이에 대한 검증과 진위 여부는 포함되지 않았다. 공격자가 방대한 고객정보에 접근한 건 사실이나, 이를 외부 저장장치나 클라우드 서버로 옮긴 정황에 대해선 추가로 확인된 내용이 없었다.
이날 "쿠팡의 중간 조사 발표 내용이 틀렸냐"는 취재진의 질의에 최우혁 과기정통부 정보보호네트워크정책실장은 "그건 피조사기관(쿠팡)의 주장일 뿐 수치가 맞다 틀리다고 말하는 게 불필요하다"고 답했다. 최 실장은 고객정보 외부 유출에 따른 2차 피해 우려와 관련해선 "현재까지 다크웹 등 다른 곳에서 확인하지 못했다"며 가능성이 낮단 견해를 밝혔다.
쿠팡은 정보유출 규모를 의도적으로 축소했단 의혹은 '오해'에서 비롯됐다는 입장이다. 지난해 말 쿠팡이 발표한 자료엔 "3000여명의 계정만 유출됐다"는 표현이 없고, 지난해 12월 쿠팡이 재공지한 사과문에 '3370만명 고객 개인정보 유출'로 표현한 점, 자체 보상 쿠폰도 사실상 모든 고객에게 제공한 점을 고려하면 정보 유출 의혹을 전면 부인하는 게 아니란 이유에서다.
지난해 말 국회 청문회에서 중간 조사 결과를 언급했다가 위증 혐의로 경찰 조사를 받는 중인 해롤드 로저스 대표도 이런 내용을 적극 소명한 것으로 알려졌다.