"한미 통상·외교 이슈" 확전 속 정부-쿠팡 진실 공방 '2 Round'

서울 송파구 쿠팡 본사. ⓒ 연합뉴스

쿠팡에서 발생한 개인정보 유출 계정 규모가 당초 사측이 신고한 4536건이 아닌 3367만여건인 것으로 최종 파악됐다고 정부가 밝혔다.

이에 쿠팡은 “조회 횟수와 실제 유출 규모를 동일선상에서 해석하는 것은 사실과 다르다”며 즉각 반박에 나서면서 양측의 진실 공방이 다시 격화되는 양상이다.

민관합동조사단은 지난 10일 쿠팡 침해 사고에 대한 조사 결과를 발표했다.

조사단은 이름과 이메일이 포함된 고객 정보 3367만3817건이 유출됐고, 성명·전화번호·배송지 주소·특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지는 총 1억4805만6502회 조회됐다고 밝혔다.

2차 범죄에 악용될 우려가 컸던 공동현관 비밀번호는 '배송지 목록 수정 페이지'를 통해 이름, 전화번호, 주소와 함께 5만여건 조회됐으며, 최근 주문한 상품 목록은 '주문 목록 페이지'에서 10만여 차례 조회됐다고 설명했다.

개인정보 세부 유출 규모는 개인정보보호위원회에서 확정할 예정이다.

조사단은 전직 직원이 이용자 인증 취약점을 악용해 정상 로그인 절차 없이 계정에 접근했고, 그 과정에서 대규모 정보 유출이 발생했다고 판단했다.

특히 정상 발급 절차를 거치지 않은 '전자 출입증(토큰)'은 사전 모의 해킹 과정에서 사이버 공격에 악용될 수 있다고 드러났지만, 보완 조치가 이뤄지지 않았다고 지적했다.

조사단은 '24시간 내 신고' 규정을 위반한 점에 대해서는 과태료를 부과할 방침이라고 밝혔다.

아울러 과기정통부는 사고 원인 분석을 위해 내려진 자료 보전 명령이 이행되지 않았다며, 2024년 7월부터 약 5개월간의 웹 접속 기록과 지난해 5월23일부터 6월2일까지의 애플리케이션 접속 기록이 삭제된 사실을 확인하고 수사를 의뢰했다고 덧붙였다.

그러나 이 같은 정부 조사 결과에 대해 쿠팡은 반발하고 나섰다.

쿠팡은 전 직원의 대규모 자동 조회 행위는 확인됐지만, 실제로 저장되거나 외부로 유출된 개인정보의 규모는 제한적이었다며, 조회 횟수 만으로 유출 피해를 판단하는 것은 오해를 낳을 수 있다고 강조했다.

쿠팡Inc는 전직 직원이 저장한 데이터가 약 3000개 계정에 불과하며, 해당 자료도 모두 삭제됐다는 선서 진술과 포렌식 결과가 일치한다고 주장했다. 또 포렌식 분석 과정에서 한국 이용자 개인정보가 저장된 정황은 확인되지 않았다고 밝혔다.

쿠팡은 결제·금융 정보나 비밀번호, 정부 발급 신분증 등 고도 민감 정보에는 접근이 없었으며, 접근 범위도 이름·이메일·전화번호·배송지 주소 등 일부 정보에 한정됐다고 강조했다.

특히 공동현관 출입 코드와 관련해선 “조회는 5만건이었지만 실제 접근은 2609개 계정에 불과했다”며 조사단 보고서가 이를 누락했다고 반박했다. 다크웹·텔레그램 모니터링 결과에서도 2차 피해 징후는 확인되지 않았다고 덧붙였다.

쿠팡 측은 “국민은 진실을 알 권리가 있으며, 모든 사실이 명확히 밝혀지기를 바란다”고 말했다.

이러한 쿠팡의 주장에 정부도 재차 반박에 나섰다.

배경훈 부총리 겸 과학기술정보통신부 장관은 11일 국회 과학기술정보통신위원회 전체회의에서 "'3000건 사용자 데이터 저장'이라는 설명은 신뢰하기 어렵다"고 말했다.

배 부총리는 "쿠팡이 공격자가 3000건만 유출했다는 보고서를 냈는데 풀(전체)본이 아니고 일부 보고서 내용을 받은 것 뿐"이라며 "3367만건을 하드디스크에 저장할 수도 있고 클라우드에 할 수도 있는데 이런 부분에 대해 쿠팡이 명확히 이야기하고 있지 않다"고 지적했다.

이어 "쿠팡에서 증거 자료로 제공한 하드디스크, 저장장치(SSDD)를 포렌식한 결과 거기서는 오히려 유출과 관련된 증거 자료를 찾을 수 없었다"며 쿠팡 주장에 신뢰도가 떨어진다고 강조했다.

배 부총리는 "합동 조사단이 발표하기 전 쿠팡 코리아 측에 조사 결과를 확인시켰다"며 "쿠팡 본사에서는 좀 다른 내용을 이야기하고 있는 것이고 쿠팡이 기업의 이익과 자국(미국) 주주를 보호하기 위해 대응을 하고 있다. 여러 로비도 이뤄지고 있다고 생각한다"고 말했다.

그러면서 "민관 합동조사단의 결과가 발표됐음에도 여전히 반박하는데 정확한 규명과 대응이 필요하겠고 개인정보보호위원회 등의 대응이 남아있다"고 언급했다.

이처럼 조사 결과 발표 이후에도 정부와 쿠팡의 입장차가 좁혀지지 않는 모양새다.

이런 가운데 쿠팡 사태는 단순한 국내 개인정보 침해 논란을 넘어 통상·외교 이슈로 확전되는 양상이다.

앞서 미 하원 법사위원회는 지난 5일(현지시간) 쿠팡 사태와 관련해 한국 정부가 쿠팡을 ‘차별’한다는 취지로 해롤드 로저스 쿠팡 임시 대표에게 보낸 소환장을 공개한 바 있다.

이를 두고 일각에서는 쿠팡 사태로 한국의 지정학적 위기가 심화되고 있다는 분석도 제기되고 있다.

전직 미국 당국자인 애덤 패러 블룸버그 선임 애널리스트는 10일(현지시간) 미 싱크탱크 전략국제문제연구소(CSIS) 대담 프로그램을 통해 "쿠팡 관련 사안은 대규모 개인 정보 유출이라는 점에서 쿠팡에 매우 심각한 위기로 떠올랐지만 한미 간의 지정학적 이슈로 사실상 전환된 듯 보인다"고 내다봤다.

그는 미 연방 하원이 오는 23일 쿠팡 관계자를 불러 청문회를 개최하는 것과 관련해선 "이런 이슈를 한층 더 부각할 수 있다는 점에서 서울(한국 정부)에 상당한 위험 요인"이라고 분석했다.

이에 국내에서도 정부가 지나치게 '강 대 강'으로 사태를 바라볼 것이 아니라 보다 신중한 대응이 필요하다는 목소리가 나온다.

지난 11일 진행된 국회 과방위 회의에서도 이 같은 목소리가 제기됐다.

박충권 국민의힘 의원은 배 부총리를 향해 "관세 재인상과 (쿠팡 사태 대응이) 관련이 없느냐"고 따졌다.

이상휘 의원은 미국 의회가 쿠팡을 옹호하는 모습을 보인 데 대해 "기업 로비력에 (비해) 정부가 대응하는 외교 능력이 이렇게 약한가 생각이 든다"며 "정부에서 합동 설명단이라도 꾸려서 미국에 가야 하는 것 아닌가"라고 물었다.