▲ 서울 송파구 쿠팡 본사. (사진=연합뉴스)

[e-뉴스 25=백지나 기자] 쿠팡 개인정보 유출 사태 수사에 착수한 경찰이 피의자의 IP를 확보해 수사중이라고 밝혔다. 경찰은 피의자가 중국 국적 직원이라는 의혹에 대해선 “확인 중”이라고 밝혔다.

서울경찰청(서울청) 고위 관계자는 1일 서울 종로구 서울경찰청에서 열린 정례 기자회견에서 “쿠팡 측으로부터 서버 로그기록 제출을 받아 분석 중이며 피의자가 범행에 사용한 IP 주소를 확보해 추적 중”이라고 밝혔다. 이 관계자는 피의자가 중국 국적인 지는 확인 중이라며 “여러 가능성 있기 때문에 제출된 자료 바탕으로 기술적으로 분석 중”이라고 말했다.

서울경찰청 사이버수사2대는 지난달 21일 이 사건에 대해 입건 전 조사에 착수했다. 쿠팡 개인정보가 유출됐다는 언론 보도 이후 인지 수사를 한 것이다. 경찰은 지난달 25일 쿠팡 측에서 고소장을 접수해 지난달 28일 고소인 조사를 마쳤다. 쿠팡이 누군가로부터 “회원 개인정보를 갖고 있다”며 “보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 협박 메일을 받은 점도 확인해 수사 중이다.

국내 e커머스업계 1위인 쿠팡은 지난 16일 약 4500개의 고객 계정에 대한 개인정보가 무단으로 유출됐다고 일부 고객들에게 메일을 보냈다. 이후 후속 조사 과정에서 노출된 계정 수가 3370만개에 달한 사실이 드러났다. 이는 쿠팡이 올해 3분기 밝힌 활성고객(구매이력이 있는 고객) 2470만명보다 큰 규모로, 업계 안팎에선 사실상 쿠팡의 모든 고객 정보가 노출된 것으로 추정한다.

현재 노출된 정보는 고객 이름과 이메일, 전화번호, 주소, 주문 정보로 카드 정보 등 결제정보 및 패스워드 등 로그인 관련 정보는 포함되지 않았다는 것이 쿠팡 측 입장이다. 경찰은 “현재까지 2차 피해 신고가 접수된 것은 없다”며 “추가 피해 우려가 있어 관계 부처와 긴밀히 협력 중”이라고 밝혔다.

이번 개인정보 유출은 지난 6월24일부터 시작됐다. 쿠팡이 애초 개인정보 무단 접근 사실을 인지했다고 밝혔던 지난 18일보다 5개월가량 앞선 시점이다. 개인정보 유출 규모도 당시 4500명에서 7500배나 많아 피해 규모를 축소하려고 한 것 아니냐는 의혹이 일고 있다.

개인정보 유출 배경엔 서버 인증 취약점 문제가 있었던 것으로 보인다. 과학기술정보통신부와 개인정보보호위원회는 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 3000만개 이상의 고객 계정 정보를 유출한 것으로 확인했다”고 30일 밝혔다. 경찰은 이번 개인정보 유출에 대한 쿠팡의 기술적 취약점 등도 함께 조사할 예정이다.

경찰은 쿠팡 측 고소인 조사를 마치고 쿠팡 서버 기록 등을 임의제출받아 분석 중이다.