쿠팡 대만서도 개인 정보 유출···"2차 피해는 없어"

쿠팡 모회사인 쿠팡Inc.는 한국에서 발생한 대규모 고객 정보 유출 사고와 관련해, 조사 과정에서 대만에 등록된 일부 계정도 동일 사건의 영향을 받은 사실이 새롭게 확인됐다고 25일 밝혔다.

회사 측 설명에 따르면 최초 사고 공지 당시에는 대만 계정이 연루됐다는 정황이 발견되지 않았으나, 이후 대만 디지털부(Ministry of Digital Affairs)와 공조해 추가 점검을 진행한 결과 일부 대만 계정이 포함된 것으로 드러났다.

이번 재조사는 대만 디지털부의 관리·감독 아래 쿠팡이 위촉한 글로벌 디지털 포렌식 및 사이버보안 전문 인력들이 수행했다. 사이버보안 기업 맨디언트의 분석 결과, 해당 전직 직원이 무단으로 접근한 전체 계정 가운데 약 20만 건이 대만 이용자 계정으로 파악됐다.

다만 맨디언트의 포렌식 조사에 따르면 실제로 데이터를 별도로 저장한 대만 계정은 1건에 그쳤다. 기존에 공개된 내용과 마찬가지로, 저장이 확인된 전체 계정 규모는 대만 1건을 포함해 한국 사례 등을 합산한 약 3000건 수준으로 집계됐다.

쿠팡은 외부 전문기관의 조사 결과를 인용해 대만을 포함한 어떠한 지역에서도 고도의 민감 정보가 유출된 정황은 발견되지 않았다고 강조했다. 대만 계정에서 열람된 정보 역시 이름, 이메일, 전화번호, 배송지, 일부 주문 내역 등 기본적인 연락·거래 정보에 국한됐다는 설명이다.

금융·결제 정보나 비밀번호 등 로그인 관련 정보, 정부 발급 신분증 정보에는 접근이 이뤄지지 않았다고 회사는 밝혔다.

쿠팡Inc.는 "쿠팡과 대만 디지털부는 이번 사안과 관련해 지속적으로 긴밀히 협력하고 있다"며 "앞으로도 한국 및 대만의 관계 기관과 협조 체계를 유지하겠다"고 전했다. 이어 "현재까지 데이터 악용이나 2차 피해 사례는 확인되지 않았지만, 상황을 계속 주시하며 추가 사실이 확인될 경우 신속히 공유하겠다"고 덧붙였다.

앞서 쿠팡은 지난해 11월 29일 총 3370만 건 규모의 개인정보 유출 사실을 처음 공개했다. 당시에는 대만 고객 정보가 유출됐다는 증거는 없다고 현지 언론에 설명한 바 있다. 그러나 이달 5일 한국에서 진행된 민관 합동 조사 과정에서 약 16만5000개 계정의 개인정보가 추가로 외부에 노출된 사실을 확인했다며 피해 규모를 정정했다.