과기정통부, “쿠팡 3000건 유출 주장은 신뢰도 떨어져” 정면 반박

배경훈 부총리 겸 과학기술정보통신부(이하 과기정통부) 장관은 11일 국회 과학기술정보방송통신위원회 과기정통부 업무보고에서 쿠팡이 개인정보 유출 사고와 관련해 언급한 ‘약 3000건 유출’ 주장에 대해 “신뢰도가 떨어진다”고 반박했다.

전날 (2월 10일) 정부 민관합동조사단이 발표한 ‘3367만3817건 유출’ 결과와 배치된다는 취지다.

쿠팡의 모회사인 쿠팡Inc는 10일 정부 민관합동조사단 발표 내용과 관련해 “전 직원이 대규모 계정 데이터에 부적절하게 접근했지만 실제로 저장한 건 약 3000개 계정 정보”라며, “정부가 주요 내용을 누락했다“고 주장한 바 있다.

3000건 보고서, 일부만 제출…“저장 위치도 명확히 말 안 해”

배 부총리는 쿠팡이 “공격자가 3000건만 저장했다”는 취지의 보고서를 제출했지만, 정부가 받은 것은 ‘전체본’이 아니라 ‘일부’였다고 밝혔다.

또 “3367만3817건은 하드디스크(HDD)나 솔리드스테이트드라이브(SSD) 같은 저장장치뿐 아니라 클라우드에도 저장할 수 있는데, 쿠팡이 이 부분을 명확히 이야기하지 않는다”고 지적했다.

이어 그는 쿠팡이 증거 자료로 제출한 저장장치를 포렌식(디지털 저장장치의 데이터 흔적을 분석·복원하는 절차)한 결과 “오히려 유출과 관련된 증거를 찾을 수 없었다”고도 말했다.

쿠팡코리아에 공유·확인…“미국 본사, 딴소리”

배 부총리는 민관합동조사단 발표 내용이 “발표 전에 쿠팡코리아에 다 공유하고 확인한 내용”이라고 밝혔다. 그럼에도 쿠팡 미국 본사가 다른 취지로 반박한 데 대해 “항의할 계획”이라고 말했다.

민관합동조사단의 발표 기준으로는, 쿠팡 사고에서 확인된 건 ‘내정보 수정 페이지’의 성명·이메일 등 이용자 정보 3367만3817건이다. 별도로 공격자는 개인정보가 표시되는 화면을 무단 조회했다. ‘배송지 목록 페이지’에서 성명·전화번호·배송지 주소와 특수문자로 비식별화(마스킹)된 공동현관 비밀번호가 포함된 정보를 1억4805만6502회 조회했고, ‘배송지 목록 수정 페이지’에서도 공동현관 비밀번호가 포함된 정보를 5만474회 조회했다. ‘주문목록 페이지’에서는 최근 주문 상품 목록을 10만2682회 조회한 것으로 확인됐다.

조사단은 배송지 목록 페이지에 계정 소유자 본인 외에도 가족·지인 등 제3자 정보가 포함될 수 있다고 설명했다. 정확한 개인정보 유출 규모는 개인정보보호위원회가 추가 조사를 진행 중이다.

류제명 과기정통부 2차관은 같은 회의에서 ‘조회 횟수 1억4800만여건’과 관련해 “유령 번호가 5000만건 정도 있고, 현재 가입자와 탈퇴 가입자가 9000만건이 된다”며 “개인정보보호위원회가 1억4000만건을 조회해 개별 주소 소유자를 하나하나 따져보고 있다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network