쿠팡은 10일 이 같은 내용의 입장문을 내고 "지난해 중국 국적의 전 직원이 부적절하게 접근해 약 3000개 계정의 정보를 저장했지만 해당 데이터가 추가로 제3자에 의해 열람되거나 활용된 정황은 없다"고 밝혔다.
쿠팡에 따르면 해당 전 직원은 스스로 작성한 소프트웨어 프로그램으로 약 1억4000만회의 자동조회를 수행해 약 3370만명의 사용자 데이터에 접근했다.
쿠팡 측은 "공격에 사용된 기기는 모두 회수됐으며 확보된 포렌식 증거 전체는 약 3000개 계정의 데이터만을 저장한 뒤 이를 모두 삭제했다는 전 직원의 선서 자백 진술과 일치한다"고 밝혔다. 이어 "민관합동조사단과 개인정보보호위원회 등 규제 당국은 2025년 12월23일 이후 회수된 모든 기기를 보유하고 있으며 기기 내에 한국 이용자의 개인정보가 저장되어 있지 않음을 확인하는 포렌식 분석 결과도 보유하고 있다"고 덧붙였다.
━
"금융·비번 등 민감 정보 접근 없어"━
유출된 정보의 범위에 대해서도 설명했다. 쿠팡은 "전 직원이 접근한 정보에는 고객의 이름, 이메일 주소, 전화번호, 배송지 주소, 제한적인 주문 내역 및 제한적인 수의 공용현관 출입 코드가 포함돼 있었다"며 "그러나 결제 정보, 금융 정보, 사용자 ID 및 비밀번호, 정부 발급 신분증 등 '고도 민감 고객 정보'에는 접근하지 않았다"고 강조했다. 이는 클라우드 플랫폼 제공 업체인 아카마이(Akamai)의 보안 로그를 통해 검증됐다고 전했다.공용현관 출입 코드와 관련해서는 "전 직원이 접근한 계정 정보 중 공용현관 출입 코드가 포함된 사례는 2609건"이라며 "이는 아카마이 보안 로그와 사용자 데이터 분석을 통해 확인됐으며 해당 결과를 지난해 12월23일 당국에 공유했다"고 말했다.
데이터 유출에 따른 2차 피해 가능성에 대해서도 선을 그었다. 쿠팡은 "독립 보안 전문 기업 CNS와 다수의 독립 인터넷 보안 전문 업체가 다크웹, 딥웹, 텔레그램 등을 지속적으로 모니터링한 결과 2차 피해와 연관된 활동은 단 한 건도 확인되지 않았다"고 밝혔다.
또한 "지난해 12월5일 경찰청 수사본부 역시 보이스피싱 등 약 2만2000건의 정밀 분석과 주거 침입 등 강력 범죄 약 11만6000건을 전수 점검한 결과 쿠팡에서 유출된 정보 유형이 악용된 2차 피해 사례는 없다고 발표했다"고 설명했다. 그러면서 "이후 경찰이 '현 단계에서는 2차 피해 발생 여부를 단정하기 어렵다'고 발표했으나 현재까지 경찰이 확인하여 발표한 2차 피해 사례는 없다"고 덧붙였다.
쿠팡 관계자는 "고객 데이터 보호와 투명한 정보 공개에 대한 약속을 지키며 정부 조사에 전면 협조하겠다"며 "이번 일로 우려를 끼쳐드린 점에 대해 깊은 유감의 뜻을 전하며 영향을 받으신 모든 분들께 사과드린다"고 말했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>