쿠팡의 미국 본사인 쿠팡아이앤씨는 25일, 보안 전문 회사인 맨디언트의 조사 결과를 발표했습니다. 이번 조사에서 기존에 확인된 3,300만 개의 유출 계정 20만 개가 대만 지역 사용자의 계정이라는 사실이 새롭게 밝혀졌습니다.
회사 측은 정보를 빼낸 전직 직원이 실제로는 개의 계정 데이터만 따로 저장했다고 설명했습니다. 또한 맨디언트를 비롯한 여러 보안 전문가들의 분석 결과, 매우 민감한 개인정보는 대만을 포함해 어떤 지역에서도 외부로 새어나가지 않았다고 강조했습니다.
쿠팡 측의 주장에 따르면, 대만 사례 역시 국내 상황과 크게 다르지 않습니다. 유출된 정보는 이름, 이메일 주소, 전화번호, 배송 받을 주소, 일부 주문 내역 같은 기본적인 연락처와 주문 관련 정보에 한정되어 있다는 것입니다. 반면 금융 정보나 결제 데이터, 비밀번호 같은 로그인 정보, 그리고 정부에서 발급한 신분증 정보는 지역에 상관없이 건도 접근된 적이 없다고 밝혔습니다.
다만 예외적으로 공동 현관 출입 비밀번호의 경우, 한국 계정 2,609개에서 노출된 것으로 확인되었습니다.
쿠팡아이앤씨는 정보 유출에 사용된 모든 기기를 이미 회수 완료했으며, 처음 알려진 3,000개의 데이터 외에 추가로 유출된 자료는 없다고 설명했습니다. 회사는 “고객 데이터가 실제로 악용된 사례는 건도 발견되지 않았다”고 거듭 강조했습니다.
하지만 시민단체인 참여연대는 최근 쿠팡 정보 유출 이후 2차 피해를 당했다는 여러 제보를 받고, 이를 근거로 서울경찰청에 정식으로 수사를 요청한 상태입니다.
대만 지역 계정 유출 사실이 확인된 이후에도 쿠팡아이앤씨는 공식 입장을 통해 “어떤 상황이든 고객 정보에 문제가 생긴 책임은 전적으로 우리에게 있다”며 고객들에게 사과의 뜻을 전했습니다. 이어서 “이번 사건은 쿠팡의 전직 직원이 회사와 고객을 상대로 저지른 범죄 행위”라고 규정하며, “법적 절차 자체는 우리가 직접 통제할 없지만, 법이 허락하는 최대 범위 안에서 범죄 행위자에 대한 처벌을 계속해서 요구해왔다”고 덧붙였습니다.
김범석 쿠팡 이사회 의장은 2021년 3월 11일 미국 뉴욕증권거래소 상장 당시 밝은 표정으로 포즈를 취했던 모습과 달리, 이번 사태로 인해 회사의 신뢰 회복이라는 새로운 과제를 안게 되었습니다.
