지난해 발생한 쿠팡 전 직원의 고객 정보 탈취 사건과 관련해, 대만 소재 계정 약 20만개가 무단 접근 대상에 포함됐던 것으로 확인됐다. 쿠팡은 실제 데이터가 저장된 사례는 단 1건에 불과하고, 금융 정보 등 고도 민감 정보 유출은 없다고 설명했다.
25일 쿠팡의 모회사인 쿠팡Inc는 지난해 11월 29일 발생한 전(前) 직원의 고객 정보 탈취 사건에 대해 맨디언트, 팔로알토 네트웍스 등 글로벌 사이버 보안 업체를 선임해 진행한 포괄적 포렌식 조사를 진행했다고 밝혔다. 이버너 조사에서 대만 소재 계정 피해 현황을 새롭게 확인했다고 전했다.
사고 발표 당시에는 대만 계정의 영향 여부가 확인되지 않았다. 대만 디지털부와 협력해 조사를 진행한 결과 한국에서 고객 정보를 탈취한 전 직원이 무단 접근한 계정 중 20만여개가 대만 소재인 것으로 드러났다.
쿠팡Inc는 포렌식 분석 결과 해당 20만여개 대만 계정 중 단 1개 계정의 데이터만 저장했다고 밝혔다. 이를 한국 등 다른 지역 사례와 합산하면 전 직원이 저장한 데이터는 총 3000여건이라고 주장했다. 맨디언트는 해당 데이터가 현재 모두 삭제되었다는 결론을 내렸다.
쿠팡Inc가 공개한 조사 결과에 따르면 유출 정보 범위는 이름, 이메일 주소, 전화번호, 배송지 주소, 제한된 수의 주문 목록 등 기본적인 연락처 및 주문 정보에 한정됐다. 한국 계정은 공동 현관 출입코드가 포함됐지만, 대만을 포함한 전 지역에서 금융 및 결제 데이터, 비밀번호 등 로그인 정보, 정부 발급 ID 등 고도 민감 정보는 한 건도 접근되지 않았다고 강조했다.
쿠팡Inc 측은 범죄 행위에 사용된 모든 기기를 회수해 분석을 마쳤으며, 전 직원 외의 제삼자에 의한 데이터 열람이나 공유, 탈취 전송 등 증거는 발견되지 않았다고 설명했다. 또한 여러 보안 기관이 다크웹, 텔레그램, 중국 메신저 등을 모니터링한 결과, 현재까지 고객 데이터 악용이나 유통 사례도 확인되지 않았다고 주장했다.
쿠팡Inc는 사건 발생 직후인 2025년 11월 중 해당 직원이 이용한 시스템 접근 경로를 차단하고 보안 조치를 완료해 관련 리스크를 해소했다고 밝혔다.
쿠팡Inc 측은 “앞으로도 대한민국 및 대만의 정부 기관과 지속적으로 협력해 나가겠다”고 전했다.
윤희석 기자 pioneer@etnews.com
