쿠팡, 대만서도 개인정보 유출…"계정 20만개 대만 소재"

[이데일리 한전진 기자]쿠팡 전 직원의 고객 정보 탈취 사건과 관련해 대만 소재 계정 약 20만개가 무단 접근 대상에 포함됐던 것으로 나타났다. 다만 쿠팡은 실제 데이터가 저장된 사례는 1건에 그쳤고, 금융 정보 등 고도 민감 정보 유출은 없었다고 설명했다.

(사진=쿠팡)

25일 쿠팡은 지난해 11월 29일 발생한 전 직원의 고객 정보 탈취 사건에 대해 맨디언트(Mandiant), 팔로알토 네트웍스(Palo Alto Networks) 등 글로벌 보안업체와 진행한 포렌식 조사 결과를 공개했다. 조사 과정에서 대만 계정 관련 사실이 새롭게 확인됐다.

쿠팡에 따르면 당시 고객 정보를 탈취한 전 직원이 무단 접근한 계정 가운데 약 20만개가 대만 소재 계정이었다. 사고 발표 시점에는 영향 여부가 확인되지 않았으나, 대만 디지털부와 협력해 추가 조사를 진행하는 과정에서 드러난 내용이다.

포렌식 분석 결과 해당 대만 계정 중 실제 데이터가 저장된 사례는 단 1건으로 파악됐다. 이를 한국 등 다른 지역 사례와 합산하면 저장된 데이터 규모는 약 3000건 수준이며, 관련 데이터는 모두 삭제된 것으로 조사됐다고 쿠팡은 설명했다.

유출 정보 범위는 이름·이메일 주소·전화번호·배송지 주소·일부 주문 내역 등 기본적인 연락처 및 주문 정보에 한정됐다. 한국 계정의 경우 공동 현관 출입코드가 포함된 사례가 있었지만, 대만을 포함한 모든 지역에서 금융·결제 정보, 비밀번호 등 로그인 정보, 정부 발급 신분증 정보 등 고도 민감 정보 접근은 확인되지 않았다고 강조했다.

또 범행에 사용된 모든 기기를 회수해 분석을 마쳤으며, 전 직원 외 제3자가 데이터를 열람하거나 공유·외부 전송한 정황도 발견되지 않았다고 밝혔다. 다크웹과 텔레그램, 중국 메신저 등에 대한 모니터링에서도 현재까지 고객 데이터 유통이나 악용 사례는 확인되지 않았다는 설명이다.

쿠팡은 사건 발생 직후인 지난해 11월 해당 직원이 이용한 시스템 접근 경로를 차단하고 보완 조치를 완료했으며, 현재 관련 위험은 해소된 상태라고 덧붙였다. 쿠팡 측은 “한국과 대만 정부 기관과 지속적으로 협력해 필요한 조치를 이어가겠다”고 밝혔다.