[서울=뉴시스]동효정 기자 = 쿠팡 전 직원이 수 개월에 걸쳐 고객 개인정보 33657만여건을 유출한 것으로 정부 조사 결과 확인된 가운데 해당 직원이 수집한 정보를 제3자 등 외부로 전송했는지 여부는 파악되지 않았다.

정부는 조사 과정에서 확인된 절차 위반 사항에 대해 제재한다는 방침이지만 논란이 된 쿠팡의 셀프조사 의혹과 2차 피해 여부에 대해서는 의문 부호가 남게 됐다.

과학기술정보통신부는 10일 쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과를 발표했다.

과기부에 따르면 지난해 11월29일부터 쿠팡 웹 접속 기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름과 이메일 3367만여건이 유출됐다.

'배송지 목록 페이지'에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화한 공동현관 비밀번호 등 1억4800만여 차례 조회 된 것으로 파악됐다.

앞서 쿠팡은 지난해 12월말 자체 조사 결과를 공개하며 공격자가 약 3000개 계정의 제한적인 고객 정보를 개인 데스크톱 PC와 노트북에 저장했으며, 해당 정보가 외부로 전송된 정황은 확인되지 않았다고 밝힌 바 있다.

이번 정부 조사에서도 유출된 개인정보가 제 3자에게 흘러갔는지는 파악되지 않았다. 정부는 조사 과정에서 공격자가 타인 계정으로 무단 접속해 유출 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능을 확인했지만, 실제 전송이 이뤄졌는지에 대해선 기록이 남지 않아 확인할 수 없다고 설명했다.

이에 따라 개인정보의 2차 피해 발생 여부 역시 명확하게 확인되지 않아 정부는 이번 조사로 외부 유출 여부를 단정할 수 있는 근거는 확보하지 못했다고 설명했다.

정부 조사 결과를 두고 업계 일각에서는 유출 개인정보에 대한 외부 전송 흔적이 확인되지 않은 만큼 추가 피해에 대해 단정하기 힘들다는 시각도 존재한다. 개인정보 유출자를 직접 조사하지 못한 상황에서 외부 전송 여부를 규명하는 데 한계가 있다는 의견도 제기된다.

정부는 이번 조사 결과를 토대로 제재 수위를 결정할 방침이다. 쿠팡이 사이버 침해 사고를 인지하고 최고정보보호책임자(CISO)에게 보고한 시점인 지난해 11월17일 오후 4시 이후, 법정 기한인 24시간을 넘겨 같은 달 19일 오후 9시35분에 당국에 신고한 것을 문제 삼아 과태료를 부과할 예정이다.

아울러 지난해 11월19일 정보 유출 사고 원인 분석을 위해 쿠팡에 자료 보전을 명령했으나, 해당 조치가 이행되지 않아 일부 접속 기록이 삭제된 사실을 확인하고 이에 대해 수사를 의뢰했다고 밝혔다.

과기정통부는 이번 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행 계획을 이달 중 제출하도록 하고, 올해 7월까지 이행 여부를 점검할 계획이다.



◎공감언론 뉴시스 vivid@newsis.com