쿠팡 “정부 지시따라 조사” 밝혔지만 증거 신뢰성 등 의문 여전

쿠팡, 회수한 노트북 사진 등 공개… “유출 데이터 회수 단정 못해” 지적
경찰 “지시 밝힌 정부기관 우리 아냐”
국정원 “쿠팡에 어떤 지시도 안해”
전문가 “3000명만 저장 납득 어려워”… 쿠팡 “조만간 고객 보상방안 발표”

26일 오전 서울 종로구 광화문광장에서 대한불교조계종 사회노동위원회, 원불교 인권위원회, 천주교서울대교구 노동사목위원회, 한국기독교교회협의회 교회와사회위원회가 쿠팡의 대규모 개인정보 유출 사태에 대한 김범석 쿠팡Inc 의장의 직접 사과와 정부의 강제 수사를 촉구하는 기자회견을 열고 있다. 변영욱 기자 cut@donga.com

쿠팡이 고객 3370만 명의 개인정보 유출 사태에 대한 ‘자체 조사’ 결과를 25일 일방적으로 발표해 논란이 커지고 있는 가운데 26일 다시 자료를 내고 “자체 조사가 아니라 정부의 지시에 따라 몇 주간에 걸쳐 긴밀히 협력한 조사였다”고 주장했다. 쿠팡의 일방적 조사 결과 발표에 대해 과학기술정보통신부가 “확인되지 않았다”며 항의하자 이날 재반박한 것이다. 다만 쿠팡의 2차 설명에도 유출 규모, 증거의 신뢰성 등을 둘러싼 의문은 여전히 남아 있다.

● 쿠팡 “정부와 긴밀히 협력한 조사”

크게보기

이날 쿠팡은 개인정보를 유출한 전직 쿠팡 소속 직원과의 접촉, 범행에 사용된 증거물 회수가 정부 지시에 따른 조치였다고 밝혔다. 쿠팡은 “정부 감독 없이 독자적으로 조사했다는 잘못된 주장이 계속 제기되며 불필요한 불안감이 조성되고 있다”며 “이번 데이터 유출 사건이 국민 여러분께 큰 우려를 끼친 만큼 정부와의 공조 과정에 대한 사실을 명확히 밝히고자 한다”고 했다.

쿠팡에 따르면 1일 쿠팡은 정부와 만나 협력을 약속했고 9일 정부가 유출자와의 직접 접촉을 제안하면서 14일 유출자와 처음 만났고 관련 사실을 정부에 보고했다. 16일에는 정부 지시에 따라 유출자의 개인용 데스크톱 PC와 하드디스크드라이브를 확보해 정부에 제출했으며, 18일에는 하천에서 유출자의 맥북 에어 노트북을 추가로 회수해 넘겼다고 밝혔다. 쿠팡은 이날 잠수부가 중국의 한 하천에서 회수했다고 밝힌 노트북 사진과 당시 인양 장면을 촬영한 영상도 공개했다.

경찰은 쿠팡의 발표 이후 즉각 입장문을 내고 “쿠팡이 유출자와 접촉할 것을 제안하고, 하드디스크드라이브 회수를 지시했다는 ‘정부’는 경찰과는 무관하다”는 입장을 밝혔다. 과기정통부는 “정부가 공식 발표한 바 없는 사항을 쿠팡이 자체적으로 발표해 국민들에게 혼란을 끼치는 것에 대해 유감스럽게 생각한다”며 “쿠팡이 발표한 내용은 조사를 통해서 투명하게 결과를 공개토록 하겠다”고 밝혔다. 쿠팡 안팎에서 조사를 지시한 정부 기관이 국가정보원이라는 이야기가 나오자 국정원은 이날 “쿠팡에 어떠한 지시를 한 바 없다”면서 “다만 외국인에 의한 대규모 정보 유출 사태를 국가안보 위협 상황으로 인식해 관련 정보 수집·분석을 위해 업무 협의를 진행한 바 있다”고 밝혔다.

● 왜 3000개만 저장했나

쿠팡의 2차 설명에도 전날 발표한 조사 결과에 대해서는 여전히 의문점이 남는다. 특히 유출자가 장기간에 걸쳐 데이터에 접근한 정황을 고려하면 약 3000개 계정만 저장됐다는 쿠팡의 주장은 설득력이 부족하다는 평가다. 이상진 고려대 정보보호대학원 교수는 “5개월간 여러 차례에 걸쳐 3000만 명이 넘는 회원들의 정보에 접근하는 노력을 하고도 정작 3000여 명의 데이터만 저장했다는 것은 납득하기 어렵다”고 말했다.

범행에 사용된 기기를 확보했다고 해서 유출된 데이터까지 모두 회수됐다고 단정할 수 없다는 지적도 나온다. 클라우드 스토리지나 외부 저장 공간을 활용했을 가능성, 추가 기기를 통해 데이터가 이전됐을 가능성이 남아 있어 ‘기기 회수’와 ‘데이터 회수’를 동일선상에 놓을 수 없다는 것이다. 황석진 동국대 국제정보보호대학원 교수는 “쿠팡은 유출자가 증거물을 자발적으로 제출했다고 밝혔지만, 영장을 통해 모든 관련 자료를 확보한 게 아니라 임의제출에 그치다 보니 USB메모리 등 외부 저장장치로 데이터를 빼돌렸을 가능성을 배제할 수 없다”고 지적했다.

조사를 담당한 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰한 주체가 쿠팡이라는 점에서 조사 결과에 대한 신뢰성 문제도 있다. 포렌식 분석이 쿠팡이 제공한 진술서와 특정 기기에 한정된 범위에서 이뤄졌다면 조사 결과 역시 “제공된 기기 내에서 추가 유출 흔적은 없다”는 제한적 결론으로 끝날 수 있기 때문이다. 박기웅 세종대 정보보호학과 교수는 “마치 건물주가 폐쇄회로(CC)TV 공개 여부를 판단하는 상황과 다르지 않다고 본다”며 “객관적 검증에는 한계가 있었을 것”이라고 지적했다.

한편 쿠팡의 소비자 보상 방안에도 관심이 쏠리고 있다. 쿠팡은 조사 결과를 발표하면서 고객 보상 방안을 조만간 별도로 발표하겠다고 밝힌 바 있다. 업계에서는 쿠팡이 국회 청문회(30, 31일)를 의식해 이르면 이번 주말에 고객 3370만 명 전체를 대상으로 하는 보상안을 내놓을 것으로 보고 있다.