로저스 쿠팡 임시대표 "고객정보 악용·2차 피해 확인된 바 없어"

[이데일리 한전진 기자] 해롤드 로저스 한국 쿠팡 임시대표가 지난해 발생한 개인정보 유출 사고에 대해 “고객 정보가 악용된 사례는 전혀 없다”고 말했다.

해롤드 로저스 쿠팡 한국 임시 대표가 지난달 30일 오후 피의자 신분으로 조사를 받기 위해 서울경찰청으로 출석, 입장을 밝히고 있다.(사진=노진환 기자)

로저스 대표는 27일(한국시간) 쿠팡Inc 2025년 4분기 실적 발표 컨퍼런스콜에서 개인정보 사고 관련 경과를 설명했다. 그는 “전 직원이 3300만개 이상의 사용자 계정 정보에 불법 접근했으며, 한국에서 약 3000개, 대만에서 1개 사용자 계정 정보를 저장했다”고 밝혔다.

쿠팡은 사건 발생 후 맨디언트와 팔로알토네트웍스 등 외부 사이버보안 전문기업에 포렌식 조사를 의뢰했다. 조사 결과 접근된 정보는 이름·이메일·전화번호·배송지·일부 주문내역 등 기본 연락처 및 주문정보에 한정된 것으로 확인됐다. 한국 사용자 2609개 계정에 대해서는 공동현관 출입번호가 접근됐다. 금융정보·비밀번호·주민등록번호 등 민감정보에 대한 접근은 없었다. 공격에 사용된 것으로 알려진 전 직원의 모든 기기는 회수됐으며, 맨디언트는 해당 직원이 데이터를 저장한 뒤 삭제했다는 결론과 포렌식 증거가 일치한다고 밝혔다.

로저스 대표는 “다른 누군가가 해당 정보를 열람했다는 증거는 발견되지 않았다”고 말했다. CNSecurity 등 외부 전문업체에 다크웹·딥웹 모니터링을 의뢰했으나 고객 정보가 유통됐다는 증거는 없었다고 설명했다. 경찰청과 정부 민관합동조사단도 현재까지 2차 피해 증거를 발견하지 못한 것으로 전했다.

팔로알토네트웍스는 “쿠팡의 보안 시스템은 업계 표준을 준수하고 있다”며 “이번 사건은 시스템적 보안 실패가 아니라 악의적인 전 직원이 내부 정보를 이용해 소프트웨어 개발 프로세스를 악용한 표적 공격의 결과”라고 결론지었다.

로저스 대표는 “이 사고는 전 직원이 쿠팡과 고객을 상대로 저지른 범죄”라며 “해당 직원이 법의 심판을 받고 최대한의 처벌을 받도록 촉구해왔다”고 말했다. 해당 직원의 시스템 접근 경로는 지난해 11월 차단 및 복구됐으며, 더 이상 고객 정보에 대한 위험은 없다고 했다.

고객 이탈 여부에 대해서는 “사고 직후 일부 고객이 결제 수단을 삭제하거나 비밀번호를 변경하고 계정을 삭제하는 조치를 취했다”면서도 “민감 정보 접근이 없었다는 사실이 확인되면서 이러한 추세가 안정화되고 회복세를 보이기 시작했다”고 설명했다.

정부 조사와 관련해 로저스 대표는 “한국 정부에 조사 결과를 공유해왔고 향후에도 지속적으로 협력하겠다”고 밝혔다. 한 정부 기관의 조사는 종료됐으나 다른 기관의 조사는 계속 진행 중이며, 추가 조사가 개시될 가능성도 있다고 했다. 현재로서는 과징금 규모나 기타 조치를 판단하기 이르다는 입장이다. 김범석 쿠팡Inc 의장도 “정부 당국과 건설적인 동반자로 긴밀히 협력할 것을 약속한다”고 말했다.