[뉴스토마토 이수정 기자] 쿠팡의 국내 대규모 개인정보 무단 접근 사건이 대만까지 번진 것으로 확인됐습니다. 동일범의 소행으로 밝혀진 가운데 회사 측은 금융 정보 등 민감 정보 유출이나 2차 피해는 발생하지 않았다고 밝혔습니다.
25일 쿠팡의 모회사인 쿠팡Inc는 글로벌 보안업체 맨디언트와 팔로알토 네트웍스 등과 함께 진행한 제3자 포렌식 조사를 마쳤다고 발표했습니다. 이번 조사는 지난해 11월 29일 발생한 국내 대규모 개인정보 무단 접근 사건 이후 추가 피해 범위를 확인하기 위해 이뤄졌습니다.
조사 결과 당시 전 직원이 무단 접근한 전체 3300만개 계정 가운데 약 20만개가 대만 소재 계정인 것으로 파악됐습니다. 쿠팡이 제2의 핵심 시장으로 육성 중인 대만에서도 동일한 보안 사고가 발생한 겁니다. 다만 회사 측은 실제 외부로 저장된 데이터는 제한적이었다고 밝혔습니다. 포렌식 분석 결과, 범인은 대만 계정 1개를 포함해 한국과 대만 합산 총 3000개 계정의 데이터만 저장한 것으로 확인됐습니다.
쿠팡Inc는 "대만 계정 20만개에서 접근된 정보가 이름, 이메일 주소, 전화번호, 배송지 주소, 제한된 수의 주문 목록 등 기본 정보에 한정됐다"며 "금융·결제 데이터, 비밀번호, 로그인 정보, 정부 발급 신분증 정보 등 고도 민감 정보는 대만을 포함한 어느 지역에서도 접근되지 않았다"고 강조했습니다.
국내 계정의 경우 공동 현관 비밀번호에 2609개 계정에서 접근된 것으로 조사됐습니다. 다만 이 역시 외부 유출이나 악용 정황은 확인되지 않았다고 말했습니다. 쿠팡Inc는 범인이 사용한 모든 기기를 회수해 분석했으며, 저장된 3000개 계정 데이터가 모두 삭제됐다는 점이 포렌식 증거와 일치한다고 설명했습니다. 또한 제3자에게 데이터를 열람·공유·전송한 흔적도 발견되지 않았다고 밝혔습니다.
2차 피해 가능성에 대해서도 선을 그었습니다. 쿠팡Inc는 "CN 세큐리티(Security)를 포함한 다수의 사이버보안 기관이 다크웹과 딥웹, 텔레그램, 중국 메신저 플랫폼 등 온라인 공간을 모니터링한 결과 관련 데이터의 유통이나 악용 사례는 확인되지 않았다"며 "이번 사건을 계기로 보호 체계를 한층 강화하고 보다 엄격한 내부 기준을 수립해 철저히 준수하고 대한민국과 대만 정부 기관과도 지속적으로 협력해 나가겠다고 말했습니다.
이수정 기자 lsj5986@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 강영관 산업2부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지