쿠팡 "대만 계정 20만건 무단 접근 확인…실제 저장은 1건뿐"

서울 송파구 쿠팡 본사.ⓒ뉴시스

쿠팡이 ‘제2의 한국 시장’으로 공을 들여온 대만에서도 고객 정보 무단 접근 사례가 확인됐다.

이번 사안은 지난해 국내에서 발생한 대규모 개인정보 유출 사건과 동일 인물의 범행으로 파악됐다. 약 20만개의 대만 계정에 접근이 이뤄졌지만, 회사 측은 민감 정보 유출이나 2차 피해는 확인되지 않았다고 밝혔다.

쿠팡 모회사인 쿠팡Inc는 25일 맨디언트와 팔로알토 네트웍스 등 사이버보안 업체와 함께 진행한 포렌식 조사를 마쳤다며 이 같은 결과를 발표했다.

조사에 따르면 지난해 11월 29일 개인정보 유출 사건을 일으킨 전 직원은 전체 약 3300만개 계정에 무단 접근했으며, 이 가운데 약 20만개가 대만 소재 계정으로 확인됐다.

다만 포렌식 분석 결과 실제로 데이터를 외부에 저장한 사례는 대만 계정 1건에 그친 것으로 나타났다. 한국 사례를 포함해 외부 저장이 이뤄진 계정은 총 3000여개 수준이라는 설명이다.

또 대만 계정 20만개에서 접근된 데이터는 이름, 이메일 주소, 전화번호, 배송지 주소, 제한된 수의 주문 목록이며, 금융·결제 데이터, 비밀번호 등 민감 정보는 포함되지 않았다고 쿠팡Inc는 강조했다.

쿠팡Inc는 이번 제3자 포렌식 조사 결과 이번 사고로 접근된 국내 고객 데이터는 기본적인 연락처 및 주문 정보에 한정됐다는 사실이 검증됐다고 밝혔다.

공동 현관 출입코드는 총 2609개의 한국 계정을 대상으로 접근됐으며, 금융·결제 데이터, 비밀번호 등 로그인 계정 정보, 정부 발급 ID는 지역과 상관없이 단 한 건도 접근 사례가 없었다고 전했다.

아울러 범인이 사용한 모든 기기를 회수해 분석한 결과, 저장된 3000개 계정의 데이터를 모두 삭제했다는 결론이 포렌식 증거와 일치했다고 밝혔다. 제3자에게 열람·공유·전송한 증거도 없었다고 했다.

2차 피해 가능성에 대해서도 일축했다.

쿠팡Inc는 “본 사건과 관련한 고객 데이터의 악용 사례는 확인되지 않았다”며 “CN Security를 포함한 다수의 사이버보안 기관이 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 및 기타 온라인 포럼을 대상으로 지속적으로 모니터링한 결과”라고 설명했다.

그러면서 “대한민국 당국도 동일한 결론을 도출했다. 경찰청, 민관합동조사단 역시 현재까지 이번 사건과 관련한 고객 데이터 악용 또는 2차 피해 사례가 확인된 바 없다는 입장을 밝혔다”고 강조했다.

쿠팡Inc는 “앞으로도 대한민국 및 대만의 정부 기관과 지속적으로 협력해 나가겠다”며 “이번 일을 계기로 더욱 배우고, 보호 체계를 한층 강화하며, 더 엄격한 내부 기준을 수립하고 철저히 준수해 나가겠다”고 밝혔다.