쿠팡Inc "공동현관 코드 5만건 조회는 2609개 계정 한정"

[아이뉴스24 진광찬 기자] 쿠팡의 미국 본사인 쿠팡Inc가 민관합동조사단 개인정보 침해 사고 조사 결과와 관련해 일부 사실관계를 바로잡아야 한다는 입장을 내놨다.

10일 쿠팡Inc는 민관합동조사단 조사 발표 이후 공식 입장을 통해 "전 직원이 접근한 계정 정보 중 공용현관 출입 코드가 포함된 사례는 2609건이고, 이는 클라우드 플랫폼 제공 업체인 아카마이(Akamai) 보안 로그와 사용자 데이터 분석을 통해 확인됐다"고 밝혔다.

이날 조사단은 전 직원이 공동현관 출입 코드에 대해 5만건의 조회를 수행했다는 보고서를 발표했는데, 여기에 2609개 계정에 접근에 한정됐다는 검증 결과는 누락됐다는 것이다. 이에 해당 분석 결과를 지난해 12월 23일 개인정보보호위원회와 민관합동조사단에 공유했다고 덧붙였다.

쿠팡Inc는 전 직원이 공격에 사용한 기기를 모두 회수했으며, 확보된 포렌식 증거 전체는 그의 선서 자백 진술과 일치한다고 설명했다. 전 직원은 약 3000개 계정의 데이터를 저장한 뒤 이를 삭제했다고 진술했으며, 포렌식 분석 결과도 이에 부합한다는 것이다. 민관합동조사단과 개인정보보호위원회는 회수된 기기 내에 한국 이용자의 개인정보가 저장돼 있지 않음을 확인하는 포렌식 분석 결과도 보유하고 있다는 게 쿠팡Inc 측 입장이다.

또 전 직원은 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 고도 민감 고객 정보에 접근하지 않았다고 강조했다. 쿠팡Inc는 이같은 사실은 아카마이의 보안 로그를 통해 검증됐으며, 해당 로그는 지난해 12월 8일 민관합동조사단과 개인정보보호위원회에 전달됐다고 밝혔다.

공동현관 출입 비밀번호 접근 사실이 알려지며 각종 우려가 제기됐지만, 쿠팡Inc는 독립 보안 전문 기업 CNS의 최신 분석에 따르면 현재까지 확인된 2차 피해는 없다고 강조했다.

쿠팡Inc는 "다수의 독립 인터넷 보안 전문 업체가 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등을 지속적으로 모니터링해 그 결과를 주간 단위로 쿠팡에 전달하고 있다"며 "데이터 유출 발생 시점부터 현재까지 이들 모니터링 결과에서 2차 피해와 연관된 다크웹 활동은 단 한 건도 확인되지 않았다"고 했다.

아울러 "앞으로도 정부의 조사에 전면 협조하고, 추가 피해를 막기 위한 필요한 모든 조치를 취하겠다"며 "재발 방지를 위한 보호 체계도 지속적으로 강화해 나갈 것"이라고 덧붙였다.