쿠팡 개인정보 유출 사건과 관련해 우려됐던 보이스피싱이나 스미싱 등 2차 피해 사례는 현재까지 확인되지 않았다는 민관합동조사단의 조사 결과가 나왔습니다.

조사단은 10일 정부서울청사에서 열린 쿠팡 침해사고 조사 결과 브리핑에서 "현재까지 다크웹 등에서 관련 정보가 유통된 정황은 발견하지 못했다"고 밝혔습니다. 

쿠팡 전 직원이 이용자 성명과 전화번호, 주소는 물론 공동현관 비밀번호까지 포함된 배송지 목록을 조회한 사실이 드러났지만, 이로 인한 직접적인 피해는 아직 발생하지 않은 것으로 파악됐습니다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동 조사단 조사결과를 발표하고 있다 / 뉴스1

조사 결과에 따르면 공격자는 전자 출입증을 위조·변조해 정상적인 로그인 절차를 거치지 않고 내부 시스템에 접근한 뒤 자동화된 웹 크롤링 기술을 활용해 개인정보를 대량 조회한 것으로 확인됐습니다.

앞서 쿠팡은 지난해 말 자체 포렌식 조사 결과를 공개하며 "공격자가 약 3300만 명의 고객 정보에 접근했지만, PC 저장장치에는 약 3000여 개 계정의 정보만 저장됐다"고 밝힌 바 있습니다. 

그러면서 "해당 정보는 공격자가 이번 사태 언론보도를 접한 후 모두 삭제했고, 고객 정보 중 제3자에게 전송된 데이터는 일체 없다"며 "결제정보, 로그인 관련 정보, 개인통관번호에 대한 접근은 없었다"고 덧붙였습니다. 

이번 합동조사단의 발표에는 이에 대한 검증과 진위 여부는 포함되지 않았습니다. 

공격자가 방대한 고객정보에 접근한 건 사실이나, 이를 외부 저장장치나 클라우드 서버로 옮긴 정황에 대해서는 추가로 확인된 내용이 없었습니다.

기사의 이해를 돕기 위한 자료사진 / 뉴스1

이날 '쿠팡의 중간 조사 발표가 사실과 다른 것이냐'는 질문에 최우혁 과학기술정보통신부 정보보호네트워크정책실장은 "그건 피조사기관(쿠팡)의 주장일 뿐 수치가 맞다 틀리다고 말하는 게 불필요하다"고 답했습니다.

고객 정보 외부 유출로 인한 2차 피해 가능성과 관련해서는 "현재까지 다크웹 등 다른 곳에서 확인하지 못했다"며 가능성이 낮다는 견해를 밝혔습니다.

쿠팡은 정보 유출 규모를 의도적으로 축소했다는 의혹에 대해 오해에서 비롯됐다는 입장입니다.

지난해 말 쿠팡에서 발표한 자료에 '3000여 명 계정만 유출됐다'는 표현이 없고, 같은 해 12월 재공지한 사과문에 '3370만 명 고객 개인정보 유출'이라고 명시한 점, 자체 보상 쿠폰도 사실상 전 고객에게 제공한 점 등을 고려하면 정보 유출 의혹을 전면 부인하는 게 아니라는 설명입니다.

지난해 말 국회 청문회에서 중간 조사 결과를 언급했다가 위증 혐의로 경찰 수사를 받고 있는 해롤드 로저스 대표 역시 이러한 내용을 적극 소명한 것으로 전해졌습니다.