쿠팡 3370만명이 털렸다
쿠팡 이용객 약 3370만개 고객 계정의 개인정보가 외부에 무단으로 노출돼 파장이 일고 있다.
총 272 건
쿠팡의 미국 본사인 쿠팡Inc가 민관합동조사단이 10일 발표한 정보유출 사건 조사와 관련해 일부 사실관계가 누락됐다는 입장을 밝혔다. 쿠팡Inc는 이날 입장문을 내고 "민관합동조사단은 중국 국적의 전 직원이 공동현관 출입 코드에 대해 5만 건의 조회를 수행했다고 밝혔지만, 클라우드 플랫폼 제공 업체인 아카마이(Akamai) 보안 로그와 사용자 데이터 분석 결과 공동현관 출입 코드가 포함된 계정은 2609건으로 확인됐다"고 밝혔다. 해당 자료는 지난해 12월 23일 개인정보보호위원회와 조사단에 공유했다는 게 회사 측의 설명이다. 쿠팡Inc는" 전 직원이 사용한 기기를 모두 회수했고, 확보된 포렌식 증거가 그의 자백 진술과 일치한다"고 강조했다. 지난해 말 쿠팡은 자체 포렌식 조사 결과를 공개하면서 "공격자가 3300만 고객 정보에 접근했지만, PC 저장장치엔 약 3000여개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 저장했다"며 "해당 정보는 공격자가 이번 사태 언론보도를 접한 후 모두 삭제했고, 고객 정보 중 제3자에게 전송된 데이터는 일체 없다"고 밝혔다.
정부 합동조사단은 10일 쿠팡 정보유출 사건 조사 발표하면서 쿠팡 측과 '진실게임' 양상으로 번질 수 있는 쟁점에 대해선 함구했다. 이 문제가 한미 통상 갈등으로 번질 수 있단 우려가 나온 상황에서 중립적 입장을 견지해 정치적 리스크를 최소화하려는 행보로 풀이된다. 쿠팡 내부에서 이날 발표의 핵심 쟁점은 지난해 12월25일 발표한 중간 조사 결과의 '진위' 여부였다. 지난해 말 쿠팡은 자체 포렌식 조사 결과를 공개하면서 "공격자가 3300만 고객 정보에 접근했지만, PC 저장장치엔 약 3000여개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 저장했다"며 "해당 정보는 공격자가 이번 사태 언론보도를 접한 후 모두 삭제했고, 고객 정보 중 제3자에게 전송된 데이터는 일체 없다"고 밝혔다. 또 "결제정보, 로그인 관련 정보, 개인 통관번호에 대한 접근은 없었다"고 덧붙였다. 하지만 이 내용은 "쿠팡이 정보유출 규모를 3000여개로 축소했다"는 오해를 불러왔다. 국회 청문회에서 의원들의 질의에 해당 내용을 지속적으로 언급한 해롤드 로저스 쿠팡 한국법인 대표는 위증 혐의로 두 차례 경찰 조사를 받았다.
경찰이 중국 공안부 방문에 나서면서 '쿠팡 개인정보 유출' 피의자의 국내 송환도 논의할 지 주목된다. 다만 중국이 상대국에 자국 범죄인을 인도한 전례가 없어 피의자의 국내법 처벌 가능성은 낮다는 전망도 나온다. 10일 경찰에 따르면 박성주 경찰청 국가수사본부장은 중국 공안부와 만나기 위해 전날 출국했다. 이번 만남은 APEC(아시아태평양경제협력체) 한·중 정상회담에서 체결한 양해각서(MOU) 후속 조치 차원이다. 양국 수사기관은 초국가 범죄 대응 이행방안이 담긴 부속서를 체결할 예정이다. 양국은 △보이스피싱 범죄 관련 정보공유 △범죄수익 추적 △국외 도피 사범 검거 등 공조수사 방안도 논의할 계획이다. 표면적 이유와 상관없이 '쿠팡 개인정보 유출' 중국인 피의자 A씨의 송환 여부 논의도 관심사다. '쿠팡 사태'가 발생한 지 약 3개월이 지났지만 아직까지 피의자 조사는 이뤄지기 전이다. 개인정보 유출 경로와 규모 등 관련 수사는 마무리 단계지만 중국인 피의자를 송환하는 과정에서 난항이 이어지고 있다.
정부가 10일 쿠팡 전 직원이 연루된 고객정보 유출 사건 조사 결과를 발표하면서 "성명, 이메일 3367만여건 유출이 확인됐다"고 밝혔다. 쿠팡 내부에선 정보유출 규모에 대해선 이견이 없지만 지난해 12월25일 긴급 발표한 자체 조사 결과의 진위 여부에 대해선 검증과 확인 절차가 필요하단 의견이 나온다. 그럼에도 정부는 대규모 정보유출 정황이 분명한 만큼 이 문제를 다투는 건 불필요하단 입장이다. 정부 합동조사단은 이날 쿠팡이 제출한 정보유출범(공격자) PC 저장장치(HDD 2대, SSD 2대) 포렌식 분석 결과를 공개했다. 이에 따르면 공격자는 정보 수집과 외부 서버 전송이 가능한 공격 스크립트를 작성했고, 위변조 '전자 출입증'을 이용해 유출한 정보를 해외 소재 클라우드 서버로 전송할 수 있게 했다. 합동조사단은 고객 정보의 실제 전송 여부에 대해선 "기록이 남아있지 않아 확인할 수 없다"고 설명했다. 지난해 말 쿠팡은 자체 포렌식 조사 결과를 공개하면서 "공격자가 3300만 고객 정보에 접근했지만, PC 저장장치엔 약 3000여개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 저장했다"며 "해당 정보는 공격자가 이번 사태 언론보도를 접한 후 모두 삭제했고, 고객 정보 중 제3자에게 전송된 데이터는 일체 없다"고 밝혔다.
과학기술정보통신부와 민관 합동조사단은 10일 쿠팡의 개인정보 침해 사고와 관련한 브리핑에서 쿠팡의 3000개 주장에 대해 언급할 필요성이 없다고 밝혔다. 최우혁 과기정통부 정보보호네트워크정책실장은 '쿠팡이 3000건 계정만 저장·유출됐다고 주장하는 것이 틀렸냐'는 질문에 "3000개를 포함해 자료 제출 등을 받아 조사를 했다"면서 "피조사인의 주장에 대해 조사단이 평가하는 것이 아니다. 우리는 유출 사건에 대해 조사를 하고 검증을 하고 체크를 해서 국민들께 투명하게 조사 결과를 발표하는게 의무"라고 했다. 이어 "그들이 언급한 숫자가 적다고 해서 처벌하는 규정은 없고 그들의 주장을 맞다, 틀리다고 말하는 게 불필요하다"고 말했다. 아울러 2차 피해와 관련해서는 "다크웹이나 다른 곳 등에서 현재까지 확인하지 못했다"고 밝혔다. 이번 해킹 사고의 공격자는 쿠팡 전 중국인 직원이다. 이에 유출된 개인정보가 중국을 포함한 해외에서 유출됐을 가능성에 대해 묻자 "IP 조회 장소 등에 대해서는 수사와 연계된 부분이어서 경찰과 정보를 공유하고 있다"면서 "서울지방경찰청에 문의해달라"고 덧붙였다.
과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단)의 조사 결과를 발표하며, 쿠팡이 이용자 인증 체계와 서명 키 등에 대한 관리가 부실했다고 판단했다. 이에 재발방지 대책을 요구했다. 먼저 문제점으로 꼽은 것은 이용자 인증체계다. 조사단은 공격자가 위·변조한 '전자 출입증'을 사용해 쿠팡 서비스에 무단으로 접속한 것을 확인했고, 정상적인 발급 절차를 거친 '전자 출입증'인지 여부를 검증하는 체계가 부재한 사실을 확인했다. 앞서 쿠팡은 모의해킹을 통해 '전자 출입증' 기반 인증 체계의 취약점 발굴·개선을 추진했지만 발견된 문제에 대해서만 해결책을 모색했다. 정작 쿠팡의 관문서버 이용자 인증 체계 개선 등 전반적인 문제점 검토는 이뤄지지 않았다. 이에 따라 조사단은 쿠팡이 정상 발급절차를 거치지 않은 '전자 출입증'에 대한 탐지 및 차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다고 주문했다. 키 관리체계도 문제가 있었다.
쿠팡 개인정보를 유출한 전 직원(이하 공격자)은 지난해 1월 퇴사 전 몇차례 사전 공격 테스트를 해본 뒤 퇴사 후 7개월간 본격적으로 개인정보를 탈취한 것으로 나타났다. 공격자는 재직 당시 발급받은 서명키로 손쉽게 위·변조 '전자출입증'을 발급받았고 특별한 제한 없이 서버에 접속할 수 있었다. 10일 과학기술정보통신부가 발표한 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단) 조사 결과에 따르면 공격자는 지난해 4월14일~11월8일 약 7개월간 쿠팡을 공격했다. 공격자는 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어 개발자(Staff Back-end Engineer)로 확인됐다. 정상적인 절차로 쿠팡 서버에 접속하기 위해서는 아이디와 비밀번호를 입력해 로그인하면서 '전자 출입증'을 발급받아야 한다. 이후 쿠팡의 관문서버에서 전자출입증이 유효한지 여부를 검증하고 이상이 없으면 서비스에 접속할 수 있다. 문제는 관문서버에 전자출입증이 위·변조됐는지 확인하는 절차가 없었다는 점이다.
쿠팡에서 발생한 개인정보 침해사고로 고객들의 개인정보가 총 3367만여건 유출된 것으로 드러났다. 이와 함께 웹크롤링 기법을 사용해 쿠팡의 개인정보 페이지를 1억4000만여회 이상 무단 조회한 사실도 드러났다. 앞서 KISA(한국인터넷진흥원)는 현장조사를 통해 3370만개 계정의 개인정보가 유출됐다고 밝힌 바 있다. 개인정보를 유출한 쿠팡 전 직원(이하 공격자)은 2313개 IP를 이용해 웹크롤링(웹 페이지를 그대로 가져와서 거기서 데이터를 추출해 내는 행위)으로 정보를 무단 수집했다. 10일 과학기술정보통신부는 쿠팡 침해사고에 대한 민관합동조사단(이하 조사단)의 조사 결과를 발표했다. 이에 따르면 공격자는 쿠팡 사이트 내에 △내정보 수정페이지△배송지 목록 페이지△배송지 목록 수정페이지△주문목록 페이지를 수시로 드나들며 1억4000여회 이상 개인정보를 조회한 것으로 드러났다. 구체적으로 성명·이메일이 담긴 △내정보 수정페이지에서는 3367만여건의 개인정보가 유출됐다. 성명, 전화번호, 주소 정보가 담긴 △배송지 목록 페이지는 1억4000만여회 조회됐다.
개인정보 분쟁조정위원회는 전체회의를 열고 쿠팡을 상대로 신청한 집단 분쟁조정 2건에 대한 개시를 의결했다고 9일 밝혔다. 지난해 12월11일 고모씨 등 50명이 먼저 냈고, 같은 달 23일 김모씨 등 1626명이 추가 제출해 총 1676명이 참여한 조정건다. 여기에 조모씨 등 866명이 일반 분쟁조정을 신청해 쿠팡을 상대로 한 개인·집단 분쟁 조정신청자는 총 2542명이다. 다만 개인정보보호위원회가 쿠팡의 개인정보 유출사건에 대해 조사를 진행하고 있는 만큼 분쟁조정위 운영세칙에 따라 개인정보위의 처분절차가 종료될 때까지 조정을 일시 정지하기로 했다. 이에 따라 집단 분쟁조정 개시 공고와 당사자 추가 참가 모집도 개인정보위의 조사 처분 결과가 나온 뒤에 진행된다. 강영수 분쟁조정위원장은 "개인정보 보호의 중요성을 엄중히 인식하고 실질적으로 피해를 구제할 수 있도록 최선을 다하겠다"고 밝혔다. 한편 일시정지 기간 중이라도 쿠팡 관련 분쟁의 조정을 희망하는 경우 분쟁조정위 홈페이지나 서면, 우편 등을 통해 신청할 수 있다.
케빈 워시 미국 연방준비제도(Fed·연준) 의장 지명자가 쿠팡 사외이사로 재직하는 동안 현금 급여 없이 오직 주식으로만 보수를 받았던 것으로 9일 확인됐다. 워시 전 의장은 연준 의장으로 인준될 경우 120억원 넘을 것으로 추산되는 쿠팡 보유주식을 전량 매도할 예정이다. 다만 지분 청산 이후에도 하버드 동문인 김범석 의장 등과의 인적 네트워크가 실질적으로 단절될지 지켜봐야 한다는 시각도 있다. 9일 쿠팡의 주주총회 안건서 등을 종합하면, 워시 지명자는 쿠팡 상장 이듬해인 2022년 3월말 기준 처음으로 쿠팡 주식 32만662주를 보유하며 지분 보유 사실을 공개했다. 워시 지명자 보유분은 2025년 6월 말 기준으론 47만주까지 늘어났다. 지난 6일(현지시간) 쿠팡의 미국 뉴욕증시 마감가(주당 17. 72달러)를 대입하면 832만8400달러(121억원)에 해당한다. 쿠팡에 재직하며 연차별 RSU(제한주식단위) 방식으로 늘린 쿠팡 주식과 기존 보유분 물량을 합산한 것이다. 쿠팡 공시문건에 따르면 워시 지명자는 2022년부터 2024년까지 모두 RSU 방식으로 보수를 지급받았으며 규모는 97만4968달러였다.
쿠팡 사건을 무혐의 처분하도록 외압을 행사했다는 의혹을 받는 엄희준 광주고검 검사가 상설특검(특별검사 안권섭) 조사에 앞서 외압 행사 사실이 없다고 했다. 사건을 처음 폭로한 문지석 부장검사에 대한 무고죄 수사도 신속히 진행해달라고 촉구했다. 엄 검사는 9일 오전 9시50분 서울 서초구 상설특검 사무실에 피의자 조사 출석 전에 취재진을 만나 "쿠팡 불기소 처분에 대해 전혀 강요하거나 관련 보고서를 누락한 사실이 없다"고 밝혔다. 엄 검사가 상설특검 조사를 받는 건 이번이 두 번째다. 엄 검사는 "당시 쿠팡 근로자들은 내일 결근해도 되고, 오늘은 쿠팡에 속하다가 내일은 다른 기업에 가도 불이익이 없는 분들"이라며 "근무하는 장소, 시간도 임의로 선택할 수 있고, 보수도 하루 단위로 지급되기 때문에 이런 근무 형태를 종합적으로 고려해서 일용직이라고 판단했다"고 말했다. '쿠팡 불기소 처분 과정에서 청탁이나 쿠팡과의 소통이 있었냐'는 질문엔 "전혀 없었다"며 "쿠팡과의 유착을 특검에서 조사하는 것으로 아는데 모든 것을 공개하고 보여줄 수 있다"고 강조했다.
쿠팡 고객정보 유출사건에 대한 정부의 고강도 합동조사가 70일째 이어지지만 사건의 내막과 실체는 베일에 싸여 있다. 정보유출 규모가 3000만명 이상이란 정부 관계자들의 말만 전해졌을 뿐이다. 앞서 정보유출 사태가 발생한 SK텔레콤, KT 등은 정부가 2차 피해를 막고 허위정보 차단을 위해 중간조사 결과를 발표했단 점에서 이례적 행보다. 업계 안팎에선 이번 사태가 장기화하면 한미 통상갈등으로 번질 가능성도 있기 때문에 정부가 조속히 조사결과를 발표하는 등 부작용을 최소화해야 한단 지적이 나온다. 8일 관련업계에 따르면 쿠팡이 지난 5일 "지난해 11월 발생한 개인정보 유출사건에서 16만5000여건 계정의 추가유출이 확인됐다"고 밝힌 것은 개인정보보호위원회의 권고에 따른 통지절차로 알려졌다. 이는 지난해 11월에 발생한 개인정보 유출사건 조사과정에서 새롭게 확인된 내용이다. 그럼에도 개보위는 직접 발표 대신 쿠팡 측의 안내문 공지형태를 선택했다. 업계에선 사건 당사자인 쿠팡보다 정부가 조사 관련 내용을 직접 발표하는 게 낫다는 의견이 나온다.