머니투데이

경찰이 '쿠팡 개인정보 유출사태'와 관련해 자료보전명령 위반여부 수사에 속도를 낸다. 구체적인 정보접근 경위를 확인할 수 있는 데이터가 일부 소실되면서 관리자 처벌 가능성도 제기된다. 11일 경찰에 따르면 서울경찰청 쿠팡수사 종합TF(태스크포스)는 전날 과학기술정보통신부로부터 쿠팡 측의 자료보전명령 불이행 관련 수사 의뢰건에 대해 추가수사에 나섰다. 과기정통부는 전날 쿠팡 침해사고 최종조사 결과를 발표하면서 지난해 5월23일부터 6월2일까지 총 11일간 앱 접속기록(로그)이 삭제된 정황을 확인하고 경찰에 수사 의뢰했다고 밝혔다. 지난해 12월 웹로그 삭제건을 수사 의뢰한 것에 더해 앱로그 삭제건까지 수사범위를 넓힌 것이다. 정보통신망법에 따라 과기정통부는 침해사고 신고가 접수된 지난해 11월19일 쿠팡에 자료보전명령을 했지만 쿠팡이 자동로그 저장정책을 조정하지 않아 남아 있어야 할 기록이 없어졌다는 설명이다. 과기정통부에 따르면 쿠팡은 앱로그를 6개월 단위로 보관한다. 자료보전명령을 곧바로 이행했다면 5월23일의 기록은 남아 있어야 한다는 점에서 정부는 쿠팡 측이 지난해 12월이 넘어서야 관련 조치를 했다고 본다.

경찰이 '쿠팡 개인정보 유출 사태'와 관련해 자료보전명령 위반 여부 수사에 속도를 내고 있다. 구체적인 정보 접근 경위를 확인할 수 있는 데이터가 일부 소실되면서 관리자 처벌 가능성도 제기된다. 11일 경찰에 따르면 서울경찰청 쿠팡 수사 종합 TF(태스크포스)는 전날 과학기술정보통신부(과기정통부)로부터 쿠팡 측의 자료보전 명령 불이행 관련 수사 의뢰건에 대해 추가 수사에 나섰다. 과기정통부는 전날 쿠팡 침해사고 최종 조사 결과를 발표하면서 지난해 5월23일부터 6월2일까지 총 11일간 앱 접속기록(로그)이 삭제된 정황을 확인해 경찰에 수사 의뢰했다고 밝혔다. 지난해 12월 웹 로그 삭제건을 수사 의뢰한 것에 더해 앱 로그 삭제건까지 수사 범위를 넓힌 것이다. 정보통신망법에 따라 과기정통부는 침해 사고 신고가 접수된 지난해 11월19일 쿠팡에 자료보전명령 했지만 쿠팡이 자동 로그 저장 정책을 조정하지 않아 남아있어야 할 기록이 없어졌다는 설명이다. 과기정통부에 따르면 쿠팡은 앱 로그를 6개월 단위로 보관한다.

쿠팡 개인정보 유출 사고가 2개월여 지난 가운데 온라인 식료품 플랫폼 중 쿠팡의 점유율이 가장 높은 것으로 나타났다. 다만 주구매 플랫폼으로 쿠팡을 쓰는 소비자들은 모든 세대에서 작년보다 10%포인트(p) 내외로 줄었고 네이버로 이동하는 흐름을 보였다. 11일 소비자 데이터 플랫폼 오픈서베이의 '온라인 식료품 구매 트렌드 리포트 2026' 조사 결과에 따르면 지난달 기준 식료품을 가장 자주 구매하는 1순위 온라인 플랫폼을 묻는 말에 쿠팡 이용률은 44. 7%로 가장 높게 집계됐다. 하지만 전년 동월 실시된 조사보다 쿠팡의 이용률은 10. 7% 낮아졌다. 이에 대해 오픈서베이는 "식료품 구매 채널로서 쿠팡의 입지는 이커머스 중 여전히 독보적이나 쿠팡을 1순위 주구매 서비스로 이용한 비율은 모든 세대에서 고르게 감소했다"고 분석했다. 실제 연령대별로 살펴보면 쿠팡 이용률은 30대에서 13. 9%p 줄며 가장 큰 감소폭을 보였다. 20대(-10. 2%p), 50대(-10%p), 40대(-8. 8%p)가 뒤를 이었다.

"어제 민관합동조사단이 발표한 조사 결과는 쿠팡코리아에 미리 공유해 확인시킨 내용입니다. 본사가 이후 내놓은 반박 입장은 자국 주주를 보호하기 위한 것이라고 생각합니다. " 배경훈 부총리 겸 과학기술정보통신부 장관이 11일 오전 국회 과학기술정보방송통신위원회의 과기정통부 업무보고에서 이같이 말하며 개인정보 유출 건수가 3000여건에 불과하다는 쿠팡의 주장을 일축했다. 조사 결과 발표 전 미리 합의한 내용을 공개 반박해 딴지를 걸었다는 말이다. 배 부총리는 "쿠팡이 자국 주주를 보호하기 위한 대응과 로비를 하고 있다고 생각한다"며 "과기정통부는 팩트로 대응하겠다"고 덧붙였다. 한편 쿠팡의 미국 본사 쿠팡Inc는 지난 10일 입장문을 내고 "민관합동조사단은 중국 국적의 전 직원이 공동현관 출입 코드에 대해 5만 건의 조회를 수행했다고 밝혔지만 클라우드 플랫폼 제공 업체인 아카마이(Akamai) 보안 로그와 사용자 데이터 분석 결과 공동현관 출입 코드가 포함된 계정은 2609건으로 확인됐다"고 밝혔다.

류제명 과학기술정보통신부 제2차관이 쿠팡 해킹으로 유출된 개인정보가 1억4000만건 이상일 수 있다고 밝혔다. 류 차관은 11일 오전 국회 과학기술정보방송통신위원회의 과기정통부 업무보고에서 "공격자가 쿠팡 배송지 목록 페이지를 약 1억4000만건 조회했는데, 이중 현재 가입자와 탈퇴 가입자의 계정은 9000만건으로 파악된다"며 "한 페이지에 최대 20개 주소가 저장된 점을 고려하면 산술적으로 어마어마한 숫자가 나온다"고 설명했다. 이어 "공격자는 1억2000만개의 주소를 확보했다고 이야기했다"며 "현재 개인정보보호위원회가 유출된 주소가 1억2000만건인지, 1억4000만건을 넘을지 분석하고 있다. (유출) 주소 개수가 더 많을 수 있다"고 말했다.

쿠팡의 대규모 개인정보유출 사태와 한국 정부의 대응에 대한 미국 연방의회 조사가 한미간 통상 마찰은 물론 한국에 대한 관세 재인상으로 이어질 가능성을 배제할 수 없다고 미국 백악관 전 당국자가 경고했다. 애덤 패러 블룸버그 선임 애널리스트는 10일(현지시간) 미 싱크탱크 전략국제문제연구소(CSIS) 대담 프로그램에서 "쿠팡 관련 사안은 대규모 개인 정보 유출이라는 점에서 쿠팡에 매우 심각한 위기였지만 이제는 한미간의 지정학적 이슈로 사실상 전환된 듯 보인다"며 이같이 밝혔다. 패러 전 보좌관은 특히 "미국과 트럼프 행정부가 한국이 이들 기업을 부당하게 겨냥하고 있다고 판단할 경우 한국은 상당한 위험에 처하게 될 것"이라며 "트럼프 행정부가 그에 따른 조치로 무역이나 관세 분야에서 비용을 높이는 행동에 나설 수 있다"고 전망했다. 패러 전 보좌관의 이 같은 언급은 이날 대담 사회를 맡은 빅터차 CSIS 한국석좌가 '쿠팡 최고경영자(CEO)가 미국 의회로부터 한국 정부와 쿠팡 사이의 최근 문제에 대해 증언해 달라는 소환장을 받은 것이 한미 관계에 어떤 의미를 갖는가'라는 질문에 답변하는 과정에서 나왔다.

쿠팡 개인정보를 유출한 전 직원(이하 공격자)은 중국인 개발자로 지난해 1월 퇴사했다. 퇴사 전 몇 차례 사전공격 테스트를 한 뒤 퇴사 후 7개월간 본격적으로 국내 쿠팡 계정의 개인정보를 탈취했다. 그의 공격시도는 1만8187만여회(중복 포함)에 달했다. 공격자의 쿠팡 서버 접속은 너무 쉬웠다. 재직 당시 발급받은 서명키로 손쉽게 위변조 '전자출입증'을 만들 수 있었다. 10일 과학기술정보통신부가 발표한 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단) 조사결과에 따르면 공격자는 지난해 4월14일~11월8일 약 7개월간 쿠팡을 공격했다. 공격자는 쿠팡 재직 당시 시스템 장애 등 백업을 위한 이용자 인증시스템 설계·개발업무를 수행한 소프트웨어개발자(Staff Back-end Engineer)로 확인됐다. 정상적인 절차로 쿠팡에 접속하려면 아이디와 비밀번호로 로그인해 '전자출입증'을 발급받는다. 이후 쿠팡의 관문서버에서 전자출입증 유효 여부를 검증한다. 이상이 없으면 서비스에 접속할 수 있다. 공격자는 재직 당시 관리하던 이용자 인증시스템 서명키를 쉽게 탈취했다.

쿠팡의 미국 본사인 쿠팡Inc가 민관합동조사단이 10일 발표한 정보유출 사건 조사와 관련해 일부 사실관계가 누락됐다는 입장을 밝혔다. 쿠팡Inc는 이날 입장문을 내고 "민관합동조사단은 중국 국적의 전 직원이 공동현관 출입 코드에 대해 5만 건의 조회를 수행했다고 밝혔지만, 클라우드 플랫폼 제공 업체인 아카마이(Akamai) 보안 로그와 사용자 데이터 분석 결과 공동현관 출입 코드가 포함된 계정은 2609건으로 확인됐다"고 밝혔다. 해당 자료는 지난해 12월 23일 개인정보보호위원회와 조사단에 공유했다는 게 회사 측의 설명이다. 쿠팡Inc는" 전 직원이 사용한 기기를 모두 회수했고, 확보된 포렌식 증거가 그의 자백 진술과 일치한다"고 강조했다. 지난해 말 쿠팡은 자체 포렌식 조사 결과를 공개하면서 "공격자가 3300만 고객 정보에 접근했지만, PC 저장장치엔 약 3000여개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 저장했다"며 "해당 정보는 공격자가 이번 사태 언론보도를 접한 후 모두 삭제했고, 고객 정보 중 제3자에게 전송된 데이터는 일체 없다"고 밝혔다.

정부 합동조사단은 10일 쿠팡 정보유출 사건 조사 발표하면서 쿠팡 측과 '진실게임' 양상으로 번질 수 있는 쟁점에 대해선 함구했다. 이 문제가 한미 통상 갈등으로 번질 수 있단 우려가 나온 상황에서 중립적 입장을 견지해 정치적 리스크를 최소화하려는 행보로 풀이된다. 쿠팡 내부에서 이날 발표의 핵심 쟁점은 지난해 12월25일 발표한 중간 조사 결과의 '진위' 여부였다. 지난해 말 쿠팡은 자체 포렌식 조사 결과를 공개하면서 "공격자가 3300만 고객 정보에 접근했지만, PC 저장장치엔 약 3000여개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 저장했다"며 "해당 정보는 공격자가 이번 사태 언론보도를 접한 후 모두 삭제했고, 고객 정보 중 제3자에게 전송된 데이터는 일체 없다"고 밝혔다. 또 "결제정보, 로그인 관련 정보, 개인 통관번호에 대한 접근은 없었다"고 덧붙였다. 하지만 이 내용은 "쿠팡이 정보유출 규모를 3000여개로 축소했다"는 오해를 불러왔다. 국회 청문회에서 의원들의 질의에 해당 내용을 지속적으로 언급한 해롤드 로저스 쿠팡 한국법인 대표는 위증 혐의로 두 차례 경찰 조사를 받았다.

경찰이 중국 공안부 방문에 나서면서 '쿠팡 개인정보 유출' 피의자의 국내 송환도 논의할 지 주목된다. 다만 중국이 상대국에 자국 범죄인을 인도한 전례가 없어 피의자의 국내법 처벌 가능성은 낮다는 전망도 나온다. 10일 경찰에 따르면 박성주 경찰청 국가수사본부장은 중국 공안부와 만나기 위해 전날 출국했다. 이번 만남은 APEC(아시아태평양경제협력체) 한·중 정상회담에서 체결한 양해각서(MOU) 후속 조치 차원이다. 양국 수사기관은 초국가 범죄 대응 이행방안이 담긴 부속서를 체결할 예정이다. 양국은 △보이스피싱 범죄 관련 정보공유 △범죄수익 추적 △국외 도피 사범 검거 등 공조수사 방안도 논의할 계획이다. 표면적 이유와 상관없이 '쿠팡 개인정보 유출' 중국인 피의자 A씨의 송환 여부 논의도 관심사다. '쿠팡 사태'가 발생한 지 약 3개월이 지났지만 아직까지 피의자 조사는 이뤄지기 전이다. 개인정보 유출 경로와 규모 등 관련 수사는 마무리 단계지만 중국인 피의자를 송환하는 과정에서 난항이 이어지고 있다.

정부가 10일 쿠팡 전 직원이 연루된 고객정보 유출 사건 조사 결과를 발표하면서 "성명, 이메일 3367만여건 유출이 확인됐다"고 밝혔다. 쿠팡 내부에선 정보유출 규모에 대해선 이견이 없지만 지난해 12월25일 긴급 발표한 자체 조사 결과의 진위 여부에 대해선 검증과 확인 절차가 필요하단 의견이 나온다. 그럼에도 정부는 대규모 정보유출 정황이 분명한 만큼 이 문제를 다투는 건 불필요하단 입장이다. 정부 합동조사단은 이날 쿠팡이 제출한 정보유출범(공격자) PC 저장장치(HDD 2대, SSD 2대) 포렌식 분석 결과를 공개했다. 이에 따르면 공격자는 정보 수집과 외부 서버 전송이 가능한 공격 스크립트를 작성했고, 위변조 '전자 출입증'을 이용해 유출한 정보를 해외 소재 클라우드 서버로 전송할 수 있게 했다. 합동조사단은 고객 정보의 실제 전송 여부에 대해선 "기록이 남아있지 않아 확인할 수 없다"고 설명했다. 지난해 말 쿠팡은 자체 포렌식 조사 결과를 공개하면서 "공격자가 3300만 고객 정보에 접근했지만, PC 저장장치엔 약 3000여개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 저장했다"며 "해당 정보는 공격자가 이번 사태 언론보도를 접한 후 모두 삭제했고, 고객 정보 중 제3자에게 전송된 데이터는 일체 없다"고 밝혔다.

과학기술정보통신부와 민관 합동조사단은 10일 쿠팡의 개인정보 침해 사고와 관련한 브리핑에서 쿠팡의 3000개 주장에 대해 언급할 필요성이 없다고 밝혔다. 최우혁 과기정통부 정보보호네트워크정책실장은 '쿠팡이 3000건 계정만 저장·유출됐다고 주장하는 것이 틀렸냐'는 질문에 "3000개를 포함해 자료 제출 등을 받아 조사를 했다"면서 "피조사인의 주장에 대해 조사단이 평가하는 것이 아니다. 우리는 유출 사건에 대해 조사를 하고 검증을 하고 체크를 해서 국민들께 투명하게 조사 결과를 발표하는게 의무"라고 했다. 이어 "그들이 언급한 숫자가 적다고 해서 처벌하는 규정은 없고 그들의 주장을 맞다, 틀리다고 말하는 게 불필요하다"고 말했다. 아울러 2차 피해와 관련해서는 "다크웹이나 다른 곳 등에서 현재까지 확인하지 못했다"고 밝혔다. 이번 해킹 사고의 공격자는 쿠팡 전 중국인 직원이다. 이에 유출된 개인정보가 중국을 포함한 해외에서 유출됐을 가능성에 대해 묻자 "IP 조회 장소 등에 대해서는 수사와 연계된 부분이어서 경찰과 정보를 공유하고 있다"면서 "서울지방경찰청에 문의해달라"고 덧붙였다.