|
30일 업계에 따르면 쿠팡 고객 정보는 쿠팡에 근무했던 중국 국적자가 유출한 것으로 파악됐다. 이는 외부 해커의 공격으로 인한 정보 유출 사고였던 SK텔레콤, KT 사례와는 전혀 다른 양상이다.
서울경찰청 사이버수사대는 지난 25일 쿠팡으로부터 고소장을 접수받아 개인정보 유출 사태에 대한 수사에 착수했다. 고소장에는 피고소인이 특정되지 않고 '성명불상자'로 기재된 것으로 전해졌다.
그러나 해당 직원이 외국 국적자인 데다 이미 쿠팡에서 퇴사해 한국을 떠난 것으로 알려지면서 수사의 어려움이 예상된다. 중국과의 범죄인 인도 조약이 체결되지 않은 상황에서 용의자 소환이나 신병 확보가 사실상 불가능할 수 있다는 우려가 나온다.
쿠팡은 앞서 이번 정보 유출이 해킹 등 외부 요인에 따른 것이 아님을 시사한 바 있다. 쿠팡은 지난 20일 입장문을 통해 "고객 개인정보가 비인가 조회된 것으로 확인됐다"며 "쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다"고 밝혔다.
이는 외부 해커가 시스템을 뚫고 들어온 것이 아니라, 정상적인 접근 권한을 가진 내부자가 고객 정보를 무단으로 조회하고 빼돌렸음을 의미한다.
또한 해당 직원이 재직 중이거나 퇴사 직후부터 유출된 정보를 해외 서버에 저장하거나 제3자에게 전달했을 가능성도 열려 있다.
쿠팡 측은 "현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다"고 밝혔다.
쿠팡은 약 5개월간 이러한 비정상적인 정보 접근을 감지하지 못했다. 내부자의 정보 조회는 외부 해킹보다 탐지가 어렵지만, 3370만명이라는 대규모 정보가 조회되는 동안 내부 모니터링 시스템이 작동하지 않았다는 점에서 보안 관리 체계의 허점이 드러났다.
과학기술정보통신부와 개인정보보호위원회가 구성한 민관합동조사단은 쿠팡의 내부 정보 접근 권한 관리 체계와 모니터링 시스템의 문제점을 집중 조사할 방침이다.
이번 사고로 유출된 정보는 고객 이름, 이메일 주소, 전화번호, 주소, 일부 주문정보 등이다. 결제 정보와 신용카드 번호는 포함되지 않았지만, 유출된 개인정보가 보이스피싱 등 2차 범죄에 악용될 가능성에 대한 우려가 커지고 있다.
