[mdtoday = 유정민 기자] 이커머스 기업 쿠팡의 개인정보 유출 사태가 한국을 넘어 대만으로 확산하며 보안 관리 체계에 대한 불신이 깊어지고 있다. 대만 이용자 20만 명의 계정 정보가 유출된 것으로 확인된 가운데, 사안의 본질을 '유출'이 아닌 '접근'으로 규정하려는 쿠팡의 대응 방식이 국내 사례와 판박이라는 지적이 제기됐다.

지난해 11월 쿠팡 고객 정보를 탈취한 용의자는 협박 메일을 통해 대만과 일본 이용자의 정보 역시 위험에 노출되어 있다고 주장한 바 있다. 당시 쿠팡 측은 자체 조사를 근거로 "현재까지 대만 계정은 발견되지 않았다"고 선을 그었으나, 불과 석 달 만에 사실관계가 뒤집혔다. 사이버 보안 전문 업체 맨디언트 및 팔로알토 네트웍스와 진행한 추가 조사 결과, 대만 고객 20만 명의 정보가 유출된 사실이 공식 확인된 것이다.

유출된 정보에는 회원의 성명, 이메일 주소, 전화번호, 배송지 주소 및 주문 기록 등이 포함된 것으로 파악됐다. 다만 결제 수단이나 금융 관련 정보는 이번 유출 범위에 포함되지 않았다고 쿠팡 측은 설명했다. 쿠팡은 용의자가 접근한 20만 개의 계정 중 실제 기기에 저장된 데이터는 단 1개의 계정뿐이라는 점을 강조하며 사태의 파급력을 낮추는 데 주력하고 있다.

이러한 쿠팡의 논리는 앞서 한국에서 발생한 대규모 정보 유출 사태 당시의 해명과 일치한다. 당시 쿠팡은 용의자가 최소 3,367만 개의 계정에 접근했으나 실제 저장된 것은 3,000여 개에 불과하다고 주장했다. 그러나 보안 전문가들은 이러한 이분법적 접근이 정보 보안의 본질을 왜곡한다고 비판한다.

이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 지난 10일 "조회도 유출이다"라며 "정보를 조회하는 순간 해당 데이터는 기업의 통제권 밖으로 나가는 것이기 때문"이라고 강조했다. 데이터가 용의자의 기기에 물리적으로 저장되었는지 여부와 관계없이, 외부인이 권한 없이 정보를 열람한 행위 자체를 엄중한 유출 사고로 간주해야 한다는 설명이다.

쿠팡의 불투명한 정보 공유 방식도 논란의 도마 위에 올랐다. 쿠팡은 자사 주장의 근거가 되는 보안 업체들의 포렌식 보고서 전문을 민관합동조사를 진행 중인 정부 당국에 제출하지 않은 것으로 확인됐다. 이에 대해 김승주 고려대학교 정보보호대학원 교수는 "쿠팡은 현재 한국 정부를 설득하려는 것이 아니라, 미국의 투자자들이나 로비스트들을 향해 메시지를 던지고 있는 것"이라고 분석했다.

대만 회원들을 대상으로 한 보상책 역시 한국에서의 방식과 유사해 실효성 논란이 일고 있다. 쿠팡은 대만 이용자들에게 약 4만 5,000원 상당의 쿠폰을 지급하기로 했으나, 이 중 상당수가 최소 구매 금액 조건이 붙은 로켓 배송 쿠폰인 것으로 드러났다. 조건 없이 사용할 수 있는 금액은 약 4,000원에 불과해, 피해 보상보다는 자사 서비스 이용 유도에 치중했다는 비판을 피하기 어려울 것으로 보인다.

• #쿠팡
• #정보유출
• #대만정보유출