쿠팡 개인정보 유출, 노트북 한 대로 가능했나

하루 최대 630만건 크롤링, 정부 기술 검증

저장량·공범 여부가 수사 핵심

(서울=연합뉴스) 조성미 기자 = 쿠팡의 개인정보 유출 사건을 조사 중인 민관 합동 조사단이 용의자가 이용자 정보를 긁어모은(크롤링) 수법과 저장 패턴을 분석하며 유출 규모와 공범 여부 등에 조사력을 집중하고 있다.

4일 연합뉴스 취재를 종합하면 조사단은 쿠팡이 용의자의 것이라며 중국 하천에서 회수한 노트북 분석을 진행 중이다.

쿠팡이 국회 과학기술정보방송통신위원회 소속 황정아 의원에게 제출한 답변에 따르면 쿠팡은 "노트북은 하천에서 건져 올린 상태 그대로 경찰에 제출됐다. 쿠팡은 노트북에 대한 포렌식 조사를 진행한 바 없으며 별도로 확인한 데이터도 없다"고 밝혔다.

조사단은 용의자가 하루 최대 6백30만건, 월 최대 1억건 이상의 공격을 통해 이용자 정보를 빼돌린 것으로 드러난 상황에서 노트북 한 대로 과연 이러한 규모의 공격이 가능했을지 분석 중이다.

또, 유출한 개인정보 7억 건이 노트북 한 대에 저장될 수 있는 양인지도 들여다보고 있다.

유출 정보가 이름, 이메일 주소, 집 주소, 공동 현관 비밀번호, 주문 내용 등 성격이 제각각이어서 일괄적인 계산은 어렵지만, 1건당 100글자로 가정해도 1.4테라바이트(TB)에 달한다는 추산이 가능하다.

1테라바이트는 A4 용지 2억3천만 장에 해당하는 정보량이다.

용의자가 쿠팡에 보냈다는 협박 메일을 보면 이용자 주문 정보도 포함됐다고 강조하는 등 그가 정보를 단순 저장한 것이 아니라 저장해 분석했다는 추정도 가능하다.

외부 저장장치 또는 클라우드 활용이 의심되는 대목인데 클라우드가 활용됐다면 접속 기록이 남아 범행에 활용됐을 가능성이 작다고 보는 시각도 있다.

2014년 카드 3사 개인정보 대규모 유출 사건 당시 보안 위험을 경고했던 문송천 카이스트 경영대 명예교수는 쿠팡 사태에 대해 "용의자가 서버 관리자처럼 최고의 접근 권한을 가지고 주전산기 데이터베이스를 자유롭게 드나들었을 것"이라고 추정했다.

문 교수는 "최대 4TB 정도 빼낸 것으로 추정된다. 단독범이 할 수 있는 규모가 아니다"라고 주장했다.

지난 30∼31일 열린 쿠팡 연석 청문회에서도 용의자 협박 메일에 '우리가(We)·우리의(Our)' 등의 표현이 나오는 점이 지목되며 복수의 참여자가 있을 가능성이 거론됐다.

민관 합동 조사단은 아직 용의자의 정보 수집(크롤링) 패턴, 저장 방법 등이 구체화하지 않았다며 모든 가능성을 열어두고 조사한다는 입장이다.

조사단 관계자는 "노트북은 현재 경찰이 갖고 있으며 경찰과 소통해 구체적인 내용을 파악 중"이라고 말했다.

황정아 의원은 "쿠팡은 용의자가 3천개 정보만 저장했다고 밝혔지만, 정작 핵심 증거물인 노트북은 포렌식 하지 않아 셀프 조사의 '축소, 은폐' 의혹이 불거질 수밖에 없는 지점"이라고 지적했다.

쿠팡이 회수한 노트북에 대한 자제 정밀 조사를 진행하지 않았다면서도 유출량에 3천 건에 그친다고 자신 있게 주장하는 데는 쿠팡 측이 글로벌 사이버 보안 업체 맨디언트, 팔로알토 네트웍스 등에 의뢰해 진행했다는 자체 검증에 상당한 자신감이 있어서가 아니냐는 관측도 나온다.

한 보안 업계 관계자는 "쿠팡이 정부와 저렇게 강한 대립각을 세우는 것으로 미뤄 무언가 자신이 있다는 것 같지만, 포렌식 보고서를 공개하지 않는 이상 확언할 수 없을 것"이라며 해당 보고서가 '스모킹건(결정적 증거)'이 될 수 있다고 지목했다.

쿠팡은 외부 검증 보고서를 정부, 국회에 제출하거나 공개하지 않고 있다.

이 관계자는 "쿠팡의 외부 보고서 내용과 정부 조사 결과가 다르게 나올 경우 쿠팡 입장에서는 '정부 조사에 문제가 있다'고 이의를 제기할 수단이 될 수도 있다"고 관측했다.

csm@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2026/01/04 06:05 송고 2026년01월04일 06시05분 송고