쿠팡 "인증 체계 전면 개편···재발 방지 총력"

정부 민관합동조사단의 개인정보 3367만건 유출 확인 발표에 대해 쿠팡이 유출 규모를 공식적으로 인정했다. 다만 유출자가 저장한 데이터에 저장된 정보가 기존 주장에서 벗어나지는 않아 실질적인 피해는 제한적이라는 입장도 함께 표명했다.

10일 정부 발표 이후 쿠팡은 기존 3370만여개 계정의 유출 규모에 대해 2차 피해에 대한 국민 불안감을 낮추기 위해 유출자 진술에 근거해 약 3000개 계정에 대해 저장과 삭제를 확인했다는 입장을 공표했다는 입장을 공식적으로 나타냈다. 아울러 사고 인지 즉시 관련 당국에 신고하고 정부 조사에 전적으로 협조하며 정보를 투명하게 공개해 왔다는 점도 공식화 했다.

이날 쿠팡은 피해 규모의 '실질적 영향'을 강조했다. 쿠팡 개인정보 유출자 실제 하드드라이브에 저장된 정보는 3000개 계정뿐이며, 외부 전송 증거도 확인되지 않았다고 주장했다.

반면 정부 민관합동조사단은 이날 "배송지 목록 페이지 등이 1억 4800만여 차례 무단 조회된 것을 확인했다"며 쿠팡의 '피해 최소화' 논리를 정면으로 반박했다. 특히 정부는 쿠팡이 자료 보전 명령을 이행하지 않아 일부 접속 기록이 삭제된 점을 들어 수사를 의뢰하는 등 쿠팡의 '투명한 협조' 주장과 배치되는 조사 결과를 내놨다.

보안 관리 부실 지적에 대해 쿠팡은 '개별 사안'임을 강조했다. 쿠팡은 "2023년 10월 실시한 모의해킹은 이번 건과 무관하며, 당시 발견된 취약점은 이미 개선 조치를 완료했다"고 선을 그었다. 이는 이번 사고가 구조적 결함이 아닌 내부 직원의 이례적인 부정 접근임을 부각하려는 논리다.

또한 카드번호, 비밀번호, 개인통관고유부호 등 핵심 금융 정보는 유출되지 않았다는 점을 방어선의 핵심으로 삼았다. 쿠팡 관계자는 "현재 정보를 식별할 수 없는 무효 계정 등을 파악 중이며, 정확한 유출 규모는 향후 개인정보보호위원회에서 최종 확정될 예정"이라고 덧붙였다.

쿠팡은 이번 사태에 대한 책임으로 인당 5만 원 상당의 보상안 지급을 진행 중이며, 내부 모니터링 체계와 인증키 관리 시스템을 전면 개편하겠다는 계획이다.

쿠팡에 따르면 사건 초기부터 글로벌 보안 업체들과 협력해 범인을 특정했고, 범인이 증거 인멸을 위해 하천에 던진 노트북까지 회수해 분석을 마쳤다. 쿠팡의 조사 결과 범인이 탈취한 정보를 외부로 전송하거나 제3자에게 넘긴 흔적은 발견되지 않았다.

쿠팡 측은 "보관하던 정보는 모두 삭제된 것으로 확인돼 추가적인 2차 피해 가능성은 없다"면서도 "이번 일을 계기로 보안 시스템을 원점에서 재검토하고 재발 방지책을 강구하겠다"고 약속했다.

그러나 정부는 쿠팡이 침해사고 인지 후 24시간 이내 신고 규정을 위반한 데 대해 과태료를 부과할 방침이며 오는 7월까지 재발 방지 대책 이행 여부를 집중 점검할 예정이다.