지난 21일 오전 서울 송파구 쿠팡 본사에 쿠팡 로고가 보이고 있다. /사진=뉴시스.

<이미지를 클릭하시면 크게 보실 수 있습니다>

경찰이 3000만명이 넘는 고객들의 개인정보가 유출된 쿠팡 사건 수사에 본격 착수했다. 쿠팡에서 일했던 중국인 직원이 유출자로 지목된 만큼 수사가 빠르게 진척되기 어렵다는 전망이 나온다. 실제 유출 규모가 쿠팡 최초 공지보다 7500배 가까이 불어난 경위 역시 수사 대상이다.

30일 경찰에 따르면 서울경찰청 사이버수사대는 쿠팡으로부터 고객 개인정보 유출 사태와 관련한 고소장을 접수해 수사에 착수했다. 고소장에는 정보통신망법상 통신망 침입 혐의가 명시됐다.

쿠팡은 지난 29일 3370만여개 고객 계정의 개인정보가 무단 유출된 사실을 확인했다고 밝혔다. 유출 정보는 고객 이름과 전화번호, 이메일 주소, 배송주소록, 주문 정보 등이다. 카드 등 결제정보와 비밀번호 등 로그인 관련 정보는 유출되지 않았다. 무단 유출은 올해 6월24일부터 시작됐다.

━
중국인 전 직원 유출자 지목…'수사 난항' 우려 나온다
━

30일 서울 송파구에 위치한 쿠팡 본사의 모습. 국내 최대 이커머스 업체 쿠팡에서 3370만 개의 고객 계정 정보가 유출된 사건 발생했다. /사진=뉴스1.

<이미지를 클릭하시면 크게 보실 수 있습니다>

머니투데이 취재를 종합하면 정보 유출자는 중국 국적의 전 직원으로 확인됐다. 해당 직원은 현재 쿠팡에 소속되지 않은 상태로 한국을 떠나 중국에 체류 중인 것으로 알려졌다.

피의자가 해외에 있는 만큼 경찰 수사가 난항에 빠질 수 있다는 우려가 크다. 중국 정부와 수사 공조가 필수적이고, 수사 과정에서 공조 대상 국가가 늘어날 수 있어서다. 개인정보 유출과 같은 사이버 범죄는 수사기관의 추적을 피하기 위해 가상사설망(VPN) 등으로 여러 국가를 우회하는 수법을 동원하는 경우가 흔하다. 다국적 공조를 통해 범행 흔적을 찾더라도 피의자 특정이 어렵다.

지난 4월 벌어진 SK텔레콤 유심 정보 유출 사건의 경우도 경찰이 수사에 착수한 지 7개월이 지났지만 아직 해킹 피의자를 특정하지 못했다. 이 사건 역시 서울청 사이버수사대에서 수사를 진행 중이다. 경찰은 서버 분석 과정에서 확보한 100개 이상 인터넷주소(IP)를 추적하면서 수사하고 있다. 자료 협조를 요청한 해외 기업은 18곳이다.

쿠팡 사건의 경우 유출자로 지목된 중국인 전 직원의 신병 확보가 관건이다. 경찰 수사 과정에서 결정적인 범행 증거를 확보하더라도 중국 정부가 피의자 송환에 응할지는 미지수다. 단독 범행이 아닐 경우 공조 수사 대상이 많이 늘어날 여지도 있다.

황석진 동국대 국제정보보호대학원 교수는 "해킹 사건은 아무리 빨라도 2~3년 이상 걸리는 경우가 상당히 많다"며 "국가 공조가 협조적이지 않을 때도 많고 (피의자가) 특정됐다고 해도 정말 범인인지 확인하는 데까지도 시간이 오래 걸린다"고 말했다.

쿠팡의 대응 적절성 역시 경찰 수사에서 들여다볼 수 있는 사안이다. 쿠팡이 고객 계정 정보에 무단 접근한 사실을 최초 인지한 시점은 이달 18일이다. 당시 유출 대상 계정은 약 4500개였다. 후속 조사에서 3370만여개 정보 노출을 알게 됐다. 쿠팡은 노출 사실을 인지한 즉시 경찰청과 개인정보보호위원회, 인터넷진흥원 등 관계 당국에 해당 사건을 신고했다고 밝혔다. 쿠팡은 지난 5개월 동안 계정 노출 사실을 인지하지 못했다.

쿠팡은 "사법기관 및 규제당국과 지속해서 협력하고 있다"고 밝혔다.

민수정 기자 crystal@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.