쿠팡이 개인정보 유출 사태를 일으킨 전 직원이 대만에서도 20만개 계정에 무단 접근한 사실을 포렌식 조사에서 확인했다고 25일 밝혔다. 사진은 서울 송파구 쿠팡 본사의 모습. 이상섭 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>

[헤럴드경제=강승연 기자] 쿠팡이 제2의 한국 시장을 목표로 진출한 대만에서도 개인정보 유출이 발생한 것으로 확인됐다.

국내 대규모 개인정보 유출 사건과 동일범 소행으로, 20만개 계정에 대해 무단 접근이 이뤄졌다. 다만, 쿠팡은 민감 정보 유출이나 2차 피해는 없다며 재발 방지에 최선을 다하겠다는 입장이다.

쿠팡 모회사인 쿠팡Inc는 25일 맨디언트와 팔로알토 네트웍스 등 사이버보안 업체와 함께 진행한 포렌식 조사를 마쳤다며 이 같은 결과를 발표했다.

조사 결과에 따르면 맨디언트는 지난해 11월 29일 대규모 개인정보 유출 사태를 일으킨 쿠팡 전 직원이 무단 접근한 계정 3300만개 중 약 20만개가 대만 소재 계정인 것으로 확인했다.

이 가운데 범인은 1개 계정의 데이터를 저장한 것으로 포렌식 결과 밝혀졌다. 이에 한국과 대만을 합산해 외부 저장으로 유출된 계정은 총 3000개로 집계됐다.

또 대만 계정 20만개에서 접근된 데이터는 이름, 이메일 주소, 전화번호, 배송지 주소, 제한된 수의 주문 목록이며, 금융·결제 데이터, 비밀번호 등 민감 정보는 포함되지 않았다고 쿠팡Inc는 강조했다.

쿠팡의 포렌식 조사 결과 [쿠팡Inc 자료]

<이미지를 클릭하시면 크게 보실 수 있습니다>

쿠팡Inc는 이번 제3자 포렌식 조사 결과 이번 사고로 접근된 국내 고객 데이터는 기본적인 연락처 및 주문 정보에 한정됐다는 사실이 검증됐다고 밝혔다.

공동 현관 출입코드는 총 2609개의 한국 계정을 대상으로 접근됐으며, 금융·결제 데이터, 비밀번호 등 로그인 계정 정보, 정부 발급 ID는 지역과 상관없이 단 한 건도 접근 사례가 없었다고 전했다.

아울러 범인이 사용한 모든 기기를 회수해 분석한 결과, 저장된 3000개 계정의 데이터를 모두 삭제했다는 결론이 포렌식 증거와 일치했다고 밝혔다. 제3자에게 열람·공유·전송한 증거도 없었다고 했다.

2차 피해 가능성에 대해서도 일축했다. 쿠팡Inc는 “본 사건과 관련한 고객 데이터의 악용 사례는 확인되지 않았다”라며 “CN Security를 포함한 다수의 사이버보안 기관이 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 및 기타 온라인 포럼을 대상으로 지속적으로 모니터링한 결과”라고 설명했다.

그러면서 “대한민국 당국도 동일한 결론을 도출했다. 경찰청, 민관합동조사단 역시 현재까지 이번 사건과 관련한 고객 데이터 악용 또는 2차 피해 사례가 확인된 바 없다는 입장을 밝혔다”라고 강조했다.

쿠팡Inc는 “앞으로도 대한민국 및 대만의 정부 기관과 지속적으로 협력해 나가겠다”라며 “이번 일을 계기로 더욱 배우고, 보호 체계를 한층 강화하며, 더 엄격한 내부 기준을 수립하고 철저히 준수해 나가겠다”라고 밝혔다.