쿠팡 배송지 1.4억회 조회?…유출정보 외부 전송은 못 밝혔다

3367만건 vs 3000건, 유출 범위 시각차
정부 "조회가 곧 유출"…1억5000만여회 조회
세부 유출 범위는 개보위 몫으로

쿠팡의 대규모 개인정보 유출 사태에 대해 민관 합동조사단이 조사 결과를 내놓은 가운데 쿠팡의 '셀프조사' 의혹을 불러온 '3000개 계정 외부저장'에 대한 진위는 명확히 가려지지 않아 후속 발표에 관심이 쏠린다.

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관 합동 조사 결과를 잠정 발표했다. 앞서 과기정통부는 지난해 11월29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3367만여건이 유출된 것을 확인했다. 이는 쿠팡이 지난해 11월 자체 조사로 발표했던 개인정보 유출 건수인 3370만여건과 비슷한 수치다.

합조단은 쿠팡의 개인정보에 접근한 공격자는 '배송지 목록 페이지'를 1억4800만여 차례 조회해 고객의 이름과 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 조회했다고 밝혔다. 이는 공격자가 배송지 목록 페이지를 방문한 횟수를 뜻한다. 세부적으로 공동현관 비밀번호는 이름, 전화번호, 주소와 함께 5만여건 조회됐고 최근 주문한 상품 목록은 '주문 목록 페이지'에서 10만여 차례 조회됐다.

이날 합조단이 발표한 유출 규모는 웹 접속기록 등을 기반으로 산정된 수치다. 정확한 개인정보 유출 규모에 대해서는 향후 개인정보보호위원회에서 확정해 발표할 예정이다. 다만 특정 국적 인물로 거론된 공격자 신상이 발표에서 제외됐고, 세부 유출 규모도 개보위가 추후 밝히기로 하면서 의혹을 완전히 해소하는 데는 미진하다는 평가가 나온다.

대표적으로 합조단 조사 결과에서는 공격자가 유출한 정보를 외부 저장장치에 얼마나 저장했는지, 이를 삭제했는지 등의 여부는 드러나지 않았다. 앞서 쿠팡은 지난해 12월25일 공격자를 조사해 포렌식으로 검증한 결과 발표하면서 "유출자는 단독으로 범행을 저질렀고, 3000개 계정의 제한적인 고객 정보를 개인 데스크톱 PC와 맥북 에어 노트북에만 저장했다"고 밝혔다. 이어 "이 정보는 외부로 전송된 적이 없고, 고객 정보를 모두 삭제했다"라는 공격자의 진술도 덧붙였다.

이를 두고 정부 측은 쿠팡의 발표가 셀프 조사에 의한 것이라고 의미를 축소했다. 배경훈 부총리 겸 과기부 장관은 지난해 12월 열린 쿠팡 연석 청문회에서 "3000건 외에 11월29일에 다 삭제했다는 말을 그냥 믿고 갈 수 없고 다 조사해야 한다"며 "삭제한 데이터를 하드디스크에 복원할 수 있고, 어디 클라우드에 저장될 수 있고 다른 데 저장할 수 있어 다 조사해야 한다"고 설명한 바 있다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 발표하고 있다. 조용준 기자

이는 개인정보 유출에 대한 판단 근거를 두고 정부와 쿠팡 측의 해석이 엇갈린 데서 비롯된 것으로 풀이된다. 현행 표준개인정보보호지침에 따르면 개인정보 유출은 '개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것'을 의미한다. 쿠팡 측은 공격자가 3300만개 이상의 고객 정보에 접근했으나 실제 저장한 정보는 약 3000개로 실제 유출은 3000건이라고 정의한 것이다.

최우혁 과기정통부 정보보호네트워크정책실장은 "3000건은 쿠팡 측이 얘기한 것이고, 그건 참고 요소일 뿐"이라며 "개인정보보호법 지침에 따라 조회된 시점부터 유출된 것으로 본다"고 설명했다.

다만 이날 발표에서는 공격자가 유출한 정보를 외부 클라우드로 전송했는지 여부가 확인되지 않았고, 범인 신상에 대한 부분도 수사의 영역으로 남겨뒀다. 보안업계 관계자는 "포렌식 조사를 통해서도 실제 클라우드 유출 증거를 잡을 수 없는 기술적 한계가 있는 만큼, 공격자를 직접 추가로 조사해야 외부 전송 여부를 알 수 있을 것"이라며 "결국 3367만개의 개인정보가 외부로 유출됐는지 여부는 밝히지 못할 가능성을 배제할 수 없다"고 말했다.

김흥순 기자 sport@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>