배경훈 부총리 겸 과학기술정보통신부 장관이 쿠팡의 개인정보 유출 범위가 3300만건 이상이라고 30일 밝혔다. 이는 3000개 계정만 유출됐다는 쿠팡의 주장을 반박한 것이다.
‘쿠팡 사태 범정부 TF’ 팀장을 맡고 있는 배 부총리는 이날 국회에서 열린 ‘쿠팡 침해사고 및 개인정보 유출, 불공정 거래, 노동환경 실태 파악과 재발 방지 대책 마련을 위한 청문회’에서 이같이 밝혔다.
앞서 쿠팡은 정보 유출 용의자인 전 직원을 자체 조사한 결과 계정 3000개만 확인했고 나머지는 삭제했다고 발표했다.
이에 배 부총리는 동의할 수 없다며 “3300만건 이상의 이름, 이메일이 유출됐고, 개인정보보호위원회, 경찰청 등 합동조사단에서 사실을 확인했다”라며 “추가로 배송주소록, 주문내역도 협박 메일에 접속을 해 유출을 한 것으로 보고 있다”라고 말했다.
이어 “추가로 배송지 주소, 주문 내용도 유출한 것으로 본다"며 "쿠팡 측이 합의되지 않은 결과를 사전에 발표했다는 것에 대해 심각한 우려를 표하고 싶다”라고 덧붙였다.
쿠팡 측은 29일(현지시간) 미국 SEC ‘8-K 보고서’를 통해 사이버보안 사건에 대한 업데이트 내용을 공개하며 “가해자가 약 3300만 개의 계정에 접근했지만, 실제로 저장한 사용자 데이터는 약 3000개 계정에 불과하다”라고 설명했다.
이는 쿠팡의 자체 조사 결과와 같으며 정부의 직접적 지시에 의한 협조를 통했다고 했으나 배 부총리는 정부 지시 사항은 없었다고 답했다.
배 부총리는 “용의자가 쿠팡 서버에 접속을 해 3300만건 이상의 고객 정보를 모니터링하고 필요한 정보를 다운로드 한 것”이라며 “(쿠팡이)3000건이라고 하는 건 용의자 노트북, 컴퓨터 저장 장치 2개, SSD 2개 등 총 4개 저장장치와 노트북을 압수해 확인된 것”이라고 말했다.
이어 “용의자가 무단으로 서명키를 가지고 토큰 생성을 통해 거의 모든 고객 정보, 3300만 이상의 정보를 확인했다는 게 중요하다”라고 강조했다.
또 그는 “용의자가 노트북, 컴퓨터 외에도 클라우드에 정보를 올렸을 수도 있으며 이런 모든 분석을 끝내고 조사결과를 발표해야 한다”라며 “이를 쿠팡 측이 먼저 발표했다는 것은 말이 안된다”라고 지적했다.
배 부총리는 쿠팡 측이 정부 지시에 따랐다며 국가정보원이 지목된 데 대해 “노트북 등을 이송하는 과정에서 유실, 국제적인 배후 사태로 활용되는 것에 대한 우려 때문에 이송 과정을 협조한 것으로 안다”라며 “국정원이 쿠팡에 지시할 수 있는 권한은 없다”라고 했다.
