(서울=뉴스1) 이형진 기자 = 쿠팡 개인정보 유출 사태를 조사해 온 정부가 쿠팡의 개인정보 유출 사고와 관련 "공격자의 외부 전송 사실은 확인할 수 없었다. 결제와 2차 피해는 없었다"고 결론 내렸다.
앞서 지난해 12월 쿠팡이 2차 피해 우려가 없다는 입장을 정부가 확인해 주면서 쿠팡의 주장이 사실로 밝혀지고 있다는 분석이 나온다.
지난 10일 최우혁 과학기술정보통신부 정보보호네트워크정책실장은 '쿠팡 침해사고 민관합동조사단 조사 결과 브리핑'에서 "현재까지 2차 피해를 다크웹 등에서 확인하지 못했다"며 "결제 정보 유출은 조사한 사항으로는 없는 것으로 파악됐다"고 말했다.
조사단은 성명과 이메일 3367만여건 유출이 확인됐고, 공격자는 전화번호나 주소 등이 포함된 쿠팡의 배송지 목록 페이지와 이용자 주문 목록 페이지를 1억5000만회가량 조회했다고 밝혔다.
'셀프 조사' 지적 쿠팡, 정부 조사단도 "내용 맞다" 시인한 셈
이날 관심을 모은 것은 '셀프조사' 의혹을 받는 쿠팡 조사에 대한 대한 진위 여부였다.
합동조사단은 쿠팡으로부터 제출받은 공격자 PC 저장장치(HDD 2대, SSD 2대) 및 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석도 병행했다고 밝혔다. 쿠팡이 지난해 12월 25일 공격자 조사를 토대로 조사한 PC와 하드드라이브 일체를 재차 조사했다는 것이다.
쿠팡은 자체 조사에서 3000개 계정의 제한적 고객 정보만 공격자의 노트북에 저장됐다고 밝혔고, 해당 정보의 외부 전송·결제·2차 피해가 없다고 했다.
이날 조사단은 "공격자가 타인 계정으로 무단 접속해, 유출 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능을 확인했지만, 실제 전송이 이뤄졌는지 여부에 대해선 기록이 남지 않아 확인할 수 없다"고 했다.
또 "현재까지 다크웹 등 다른 곳에서 2차 피해를 확인하지 못했고, 결제 피해도 없었다"고 했다.
"中 공격자 직접 조사 못 해 한계 있었을 것"
조사단은 또 중국 국적으로 추정되는 공격자 조사에 대해서는 "경찰이 수사하는 사안"이라고 구체적인 답변을 피했다.
다만 보안업계에서는 "정부가 중국 국적의 공격자를 직접 조사하지 못한 한계로 쿠팡의 셀프조사 의혹을 완벽히 반박할 수 없었던 것 아니냐"는 반응이다. 앞서 정부는 공격자에 대해 중국에 범죄인 인도를 신청했지만, 송환되지 못했다.
보안업계 관계자는 "포렌식 조사를 통해서도 실제 클라우드 유출 증거를 잡을 수 없는 기술적 한계가 있는 만큼, 공격자를 직접 추가 조사해야 외부 전송 여부를 알 수 있을 것"이라며 "결국 이 사건은 3367만개 개인정보가 외부로 유출됐는지 여부는 밝히지 못한 채 '미제'로 남을 가능성도 크다"고 했다.
한편, 이번 합조단 조사 결과에 대해 쿠팡은 "정보를 식별할 수 없는 무효계정 등을 파악 중이며, 정확한 유출 규모는 개보위(개인정보보호위원회)에서 최종 확정 예정인 것으로 알고 있다"며 "이번 사태를 계기로 재발 방지를 위한 모든 방안을 강구할 것임을 약속드리며, 고객들의 소중한 개인정보를 보호하기 위해 최선을 다할 것"이라고 밝혔다.
※ 저작권자 ⓒ 뉴스1코리아, 무단전재-재배포 금지