- 한국 유출 사건과 동일범 소행… "20만 개 무단 접근, 1개 계정 저장"
- 작년 11월 "대만 유출 없다" 발표 번복… '셀프 조사' 한계 지적도
대만 고객 20만 명 무단 접근… 유출 내역은?
쿠팡의 모회사인 쿠팡Inc는 지난 24일과 25일에 걸쳐 글로벌 보안 업체 맨디언트(Mandiant)와 팔로알토 네트웍스 등의 포렌식 조사 결과를 발표했습니다.
조사 결과에 따르면, 지난해 11월 한국 고객 정보를 유출시킨 전직 직원이 무단 접근한 계정 중 약 20만 개가 대만 소재 계정인 것으로 드러났습니다.
쿠팡 측은 "무단 접근된 20만 개 계정 중 실제 데이터가 저장(다운로드)된 사례는 대만 1건, 한국 약 3,000건으로 확인됐다"며 "범인이 사용한 기기를 회수해 분석한 결과 저장된 데이터는 모두 삭제됐으며 제3자 공유 증거도 없다"고 강조했습니다.
"유출 없다"더니… 뒤바뀐 해명에 '신뢰도' 타격
이번 발표로 쿠팡의 초기 대응과 내부 조사 결과에 대한 불신이 커지고 있습니다.
쿠팡은 지난해 11월 한국 유출 사태 직후, 대만 언론에 "대만 고객 데이터 유출 증거가 없다"는 자료를 즉각 배포한 바 있습니다. 당시 업계에서는 쿠팡이 신시장인 대만에서의 부정적 여론 확산을 막기 위해 성급히 선을 그은 것 아니냐는 지적이 나왔습니다.
또한, 쿠팡은 그간 '실제 저장된 계정은 3,000여 개'라는 점을 강조하며 피해 규모를 축소해 왔으나, 우리 정부는 "저장 여부와 무관하게 무단 접근된 3,370만 개 계정 모두가 유출된 것"이라는 입장을 고수해 왔습니다. 실제로 지난 5일에는 민관 합동 조사 과정에서 한국 고객 16만 5,000명의 정보가 추가 유출된 사실이 뒤늦게 확인되기도 했습니다.
쿠팡 "2차 피해 없도록 보안 강화할 것"
쿠팡Inc는 이번 사건과 관련한 고객 데이터 악용 사례는 현재까지 확인되지 않았다고 밝혔습니다. 다크웹과 텔레그램 등을 지속 모니터링한 결과와 한국 경찰청 및 민관합동조사단의 결론이 일치한다는 설명입니다.
쿠팡 관계자는 "이번 일을 계기로 보호 체계를 한층 강화하고 더욱 엄격한 내부 기준을 수립하겠다"며 "한국과 대만 정부 기관과 지속적으로 협력해 재발 방지에 최선을 다하겠다"고 전했습니다.
[참조] 개인정보 유출 사건 주요 경과
2023년 11월 29일: 유출 사건 발생 및 쿠팡의 초기 대응
쿠팡 전 직원의 무단 접근으로 한국 고객 약 3,370만 건의 개인정보 유출 사고 발생.
대만 언론을 대상으로 "대만 고객 데이터가 유출됐다는 증거는 없다"고 선제적 보도자료 배포.
2023년 11월 30일: 한국 고객 대상 통보
대부분의 국내 소비자가 사건 발생 다음 날에야 문자 메시지를 통해 유출 사실을 통보받음.
2023년 12월: '셀프 조사' 결과 발표
쿠팡, 글로벌 보안 업체 맨디언트(Mandiant) 등의 분석을 근거로 자체 조사 결과 발표.
"실제 데이터가 다운로드되어 유출 피해를 본 계정은 약 3,000개"라고 주장하며 파장 축소에 주력.
2024년 2월 5일: 한국 내 추가 유출 확인
정부 민관합동조사단의 조사 과정에서 약 16만 5,000개 계정의 개인정보가 추가로 유출된 사실이 확인되어 쿠팡의 초기 조사 신뢰도 하락.
2024년 2월 24일: 대만 유출 사실 공식 시인
쿠팡, "포렌식 조사 결과 무단 접근된 계정 중 약 20만 개가 대만 소재로 확인됐다"며 초기 입장을 3개월 만에 번복.
대만 계정 중 실제 데이터가 저장(다운로드)된 사례는 1건이라고 밝힘.
2024년 2월 25일: 최종 조사 결과 및 재발 방지책 발표
쿠팡Inc, 맨디언트 및 팔로알토 네트웍스와의 공동 포렌식 조사 종료 선언.
범인 기기 회수 및 데이터 삭제 확인, 다크웹 등 모니터링 결과 2차 피해 사례 없음을 강조하며 사건 종결 절차 돌입.
위 게시글은 아래의 기사를 참조하여 Gemini로 재구성한 내용입니다
대만은 아니라더니...쿠팡 “대만 고객 20만명 개인정보 유출”
쿠팡의 주장에 따르면 자기들은 미국기업이니
안에서 샌적이 없습니다?????
참으로 애초에 한국 고객들을 기반으로 큰 회사가 미국회사라고 우기니 할말이 없습니다
대만도 사업대상이었나보군요.