(교열중) 쿠팡이 고객 3370만 명의 개인정보 유출 사태에 대한 ‘자체 조사’ 결과를 25일 일방적으로 발표해 논란이 커지고 있는 가운데 쿠팡은 26일 다시 자료를 내고 “쿠팡 조사는 ‘자체 조사’가 아니었고 정부의 지시에 따라 몇 주간에 걸쳐 긴밀히 협력한 조사였다”고 주장했다. 쿠팡의 자체 조사 결과 발표에 대해 과학기술정보통신부가 “확인되지 않았다”며 일방적으로 알린 것에 항의하자 이날 재반박 자료를 낸 것이다. 다만 쿠팡의 설명에도 유출 규모와 실제 저장된 데이터 범위 등을 둘러싼 의문은 여전히 남아 있다.
●쿠팡 “정부와 긴밀히 협력한 조사”
이날 쿠팡은 설명자료를 통해 “쿠팡의 조사는 ‘자체 조사’가 아니었다”며 “정부의 지시에 따라 몇 주간에 걸쳐 매일 정부와 긴밀히 협력하며 진행한 조사였다”고 밝혔다. 이어 “정부의 감독 없이 독자적으로 조사했다는 잘못된 주장이 계속 제기되면서 불필요한 불안감이 조성되고 있다”며 “이번 데이터 유출 사건이 국민 여러분께 큰 우려를 끼친 만큼 정부와의 공조 과정에 대한 사실을 명확히 밝히고자 한다”고 덧붙였다.
쿠팡에 따르면 이달 1일 쿠팡은 정부와 만나 공조를 약속했고, 이튿날인 2일 정부로부터 유출 사고에 대한 공식 공문을 받았다. 9일 정부가 쿠팡에 유출자와 직접 접촉할 것을 제안함에 따라 쿠팡은 14일 유출자와 처음 만났고 이 사실을 정부에 보고했다. 16일에는 정부 지시에 따라 정보 유출자의 데스크톱과 하드 드라이브를 회수해 정부에 제출했고 18일에는 하천에 버려진 노트북을 회수해 제출했다고 밝혔다. 쿠팡은 이날 설명자료와 함께 중국의 한 하천에서 잠수부가 노트북을 인양하는 장면이 담긴 영상과 인양 이후 확보한 노트북과 에코백을 촬영한 증거 사진을 공개했다.
다만 쿠팡은 조사를 지시한 정부 주체가 어디인지는 밝히지 않았다. 경찰은 쿠팡의 발표 이후 즉각 입장문을 내고 “쿠팡이 유출자와 접촉할 것을 제안하고, 하드드라이브 회수를 지시했다는 ‘정부’는 경찰과는 무관하다”는 입장을 밝혔다.
●왜 3000여개만 유출했을까
쿠팡의 2차 설명에도 전날 발표한 조사 결과에 대해서는 여전히 의문점이 남는다. 특히 유출 규모와 실제 저장된 데이터의 범위를 둘러싼 설명이 충분하지 않다는 지적이 나온다. 이상진 고려대 정보보호대학원 교수는 “5개월이라는 긴 기간 동안 여러 차례에 걸쳐 3000만 명이 넘는 회원들의 정보에 접근하는 노력을 하고도 정작 3000여명의 데이터만 저장했다는 것은 논리적으로 납득이 어렵다”고 말했다. 이 교수는 “쿠팡이 정부에 제출했다는 하드디스크에서 어떤 시도가 이뤄졌고 어떤 기록이 나왔는지는 전혀 언급하지 않고 있다”고도 지적했다.
범행에 사용된 기기를 확보했다고 해서 유출된 데이터까지 모두 회수됐다고 단정하기는 어렵다는 지적도 나온다. 클라우드 스토리지나 외부 저장 공간을 활용했을 가능성, 추가 기기를 통해 데이터가 이전됐을 가능성이 남아 있어 ‘기기 회수’와 ‘데이터 회수’를 동일선상에 놓을 수 없다는 것이다. 황석진 동국대 국제정보보호대학원 교수는 “쿠팡은 유출자가 증거물을 자발적으로 제출했다고 밝혔지만, 영장을 통해 모든 관련 자료를 확보한 게 아니라 임의 제출에 그치다 보니 USB 등 외부 저장장치로 데이터를 빼돌렸을 가능성을 배제할 수 없다”고 말했다.
조사를 담당한 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 3개 업체에 의뢰한 주체가 쿠팡이라는 점에서 이들의 조사 결과에 대한 신뢰성 문제도 남아 있다. 포렌식 분석이 쿠팡이 제공한 진술서와 특정 기기에 한정된 범위에서 이뤄졌다면 조사 결과 역시 “제공된 기기 내에서 추가 유출 흔적은 없다”는 제한적 결론에 그칠 수밖에 없기 때문이다.
서울경찰청 사이버수사과는 쿠팡 측이 중국 현지에서 확보했다며 21일 임의제출한 유출자의 노트북 분석에 수사력을 모으고 있다. 경찰은 제출받은 노트북이 실제 범행에 쓰인 것인지, 데이터가 위변조되지 않았는지 정밀 검증할 방침이다. 특히 쿠팡이 노트북 등을 전문업체에 맡겨 자체 포렌식한 결과 회원 3000명의 정보만 저장한 것으로 확인됐다는 주장에 대해서도 검증하고 있다. 경찰은 쿠팡 압수수색을 통해 직접 실시한 서버 로그 분석 결과와 쿠팡 측 주장을 대조하는 한편, 쿠팡이 제출한 노트북 외에 제3의 저장장치나 클라우드 전송 흔적이 있는지 수사 중이다.
About Dong-A Ilbo