[쿠팡 사태]
셀프조사 공유없이 휴일 기습 발표
“팔로알토 등 3곳 의뢰-잠수부 투입”… 사진-동영상 등 증거는 제시 안해
압박 거세지자 책임 회피 노린듯… 전문가 “신뢰못해, 추가 검증해야”
셀프조사 공유없이 휴일 기습 발표
“팔로알토 등 3곳 의뢰-잠수부 투입”… 사진-동영상 등 증거는 제시 안해
압박 거세지자 책임 회피 노린듯… 전문가 “신뢰못해, 추가 검증해야”
 |
미국 뉴욕증권거래소 앞에 서 있는 쿠팡 창업주 김범석 쿠팡 Inc 의장. |
쿠팡은 25일 고객 3370만 명의 개인정보를 유출한 전 쿠팡 소속 직원을 특정하고, 해당 범행에 쓰인 노트북과 하드디스크 드라이브 등 장치를 회수했다고 밝혔다. 쿠팡은 “고객 정보 중 제3자에게 유출된 정보는 일절 없다”고 강조했지만, 정부는 즉각 설명 자료를 내고 “쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다”고 밝혔다. 이날 쿠팡이 자체 조사 결과를 당국과 사전 공유하지 않고 휴일에 기습적으로 공표한 것을 두고 여러 보안 전문가는 “정보 유출 당사자의 자체 조사 결과는 신뢰할 수 없다”며 “쿠팡의 주장에 대한 추가적인 검증이 필요하다”고 지적했다.
● 쿠팡, 증거는 공개 안 해
이날 쿠팡은 사건 초기부터 최상위 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 의뢰해 조사를 진행해 왔다고 밝혔다. 쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 3300만 개의 고객 정보에 접근했으나 이 중 약 3000개의 고객 정보만 저장했다. 여기에 이름, 이메일, 주소, 전화번호, 일부 주문정보, 2609개의 공동현관 출입 번호가 포함됐다. 공격에 사용된 장비는 개인용 데스크톱 PC 1대와 맥북 에어 노트북 1대였다.
쿠팡은 유출자가 언론을 통해 정보 유출 사태를 접하고 극도의 불안 상태에 빠져 증거의 은폐, 파기를 시도했다고 밝혔다. 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던졌는데, 쿠팡은 이 진술을 토대로 잠수부를 투입해 해당 노트북을 회수했다고 주장했다. 다만 쿠팡은 이날 자체 조사 결과에 대한 사진과 동영상 등의 증거는 하나도 공개하지 않았다. 쿠팡은 해당 유출자나 하천 정보 등에 대해서는 확인해 줄 수 없다는 입장이다. 쿠팡은 “향후 진행될 조사 경과에 따라 지속적으로 안내를 할 예정으로, 이번 사태로 인한 고객 보상 방안을 조만간 별도로 발표할 것”이라고 했다.
전문가들은 쿠팡의 자체 조사 결과에 대해 “신뢰할 수 없다”고 입을 모았다. 김명주 서울여대 정보보호학과 교수는 “조사를 받는 대상이 발표한 결과를 믿을 수도 없을뿐더러 비상식적인 행태”라며 “향후 민관합동조사단의 결과와 다르게 나올 경우 상당한 혼란이 생길 수 있다”고 지적했다.
쿠팡이 주장한 내용을 검증하기 위해서는 추가로 철저한 분석이 필요하다는 주장도 제기됐다. 염흥열 순천향대 정보보호학과 명예교수는 “실제로 유출된 개인정보의 종류나 수 등에 대해 객관적인 로그 데이터와 포렌식 분석을 통한 추가적인 검증이 필요해 보인다”고 말했다. 이상진 고려대 정보보호대학원 교수는 “정보 탈취가 5개월 동안 지속됐다는 점을 고려하면 3000명분만 저장했다는 설명은 논리적으로 맞지 않는다”며 “전체 유출의 일부를 시험 삼아 확보한 이른바 ‘샘플 데이터’를 별도로 가공, 활용하기 위해 선별해 추출했을 가능성도 있다”고 지적했다.
● 거세지는 압박에 책임 회피 노렸나
 |
쿠팡은 17일 유출자의 진술서 제출을 시작으로 관련 장치와 자료를 확보하고 정부에 제출했다고 밝혔다. 하지만 유출 사고를 조사 중인 민관합동조사단은 물론이고 유출자에 대한 고소장을 접수하고 수사를 진행하던 경찰도 쿠팡이 자체 조사를 진행하고 있다는 사실을 알지 못했던 것으로 알려졌다. 해당 기관들은 이날 쿠팡의 기습적이고 일방적인 조사 결과 발표에 당혹스러움을 감추지 못하는 분위기다.
쿠팡을 상대로 한 정부와 정치권의 압박이 거세지는 상황에서 쿠팡이 책임을 회피하기 위해 무리하게 발표를 한 것 아니냐는 시각도 있다. 쿠팡이 이날 입장문에서 3370만 개의 개인정보 중 실제 저장된 것은 3000여 개라고 주장한 것이 책임을 축소하기 위한 것이라는 설명이다. 황석진 동국대 국제정보보호대학원 교수는 “발표 내용을 보면 유출자가 3000여 개만 저장했다는 점이 강조되지만 개인정보보호법상 중요한 건 저장 규모가 아니라 외부에서 침입해 실제 접근이 발생했는지 여부”라며 “저장 규모가 작다는 점만 앞세운 설명은 자칫 보안 관리 책임이나 형사적 책임을 낮추려는 의도로 비칠 여지가 있다”고 지적했다. 개인정보보호위원회 관계자도 “권한이 없는 자가 개인정보를 조회했다는 것 자체만으로 이미 법률상 위반이 발생한 것”이라고 말했다.
경찰은 쿠팡이 회수했다고 밝힌 장비를 임의제출 형태로 넘겨받아 분석을 이어갈 방침이다. 탈취된 정보가 외부로 전송되지 않았다거나, 3000개 계정의 고객 정보만 저장했다가 삭제했다는 등 쿠팡 측 주장에 대해 사실 여부를 수사로 밝히겠다는 입장이다.
이소정 기자 sojee@donga.com
김다연 기자 damong@donga.com
서지원 기자 wish@donga.com
Copyright Ⓒ 동아일보. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.