쿠팡으로부터 3천3백만 건이 넘는 데이터를 빼낸 중국인 용의자가, 쿠팡에서 성인용품 구매 이력이 있는 고객 266명의 데이터를 쿠팡 측에 보내 해킹 사실을 알렸던 것으로 확인됐습니다. MBC가 입수한 중국인 용의자 이메일을 보면, 메일에 첨부된 '유출 샘플 데이터'에 구매자의 이메일과 최근 배송 주소지, 받는 사람 이름은 물론 고객들이 구매한 성인용품 내역 등이 포함돼 있었습니다.쿠팡이 자칭 '데이터 보안 내부고발자(Data Security Whistleblower)'로부터 메일을 받은 건 지난달 25일. 3천3백만 건이 넘는 개인정보가 유출됐다는 소식을 기습 발표하기 나흘 전입니다.

더불어민주당 김우영 의원이 30일 쿠팡 연석청문회에서 공개한 이 메일의 제목은 유출 경보: 쿠팡 이용자들의 개인정보가 극도로 유출 위험에 처했음입니다. 쿠팡에서 개인정보를 빼낸 용의자가 보낸 것으로 추정되는데, 이 메일에는 개인 정보가 다수 포함돼 있다며 함부로 전달(forward)하지 말라는 경고가 대문자로 적혀있습니다.메일은 쿠팡 시스템의 취약점을 찾기 어렵지 않았다며, 한국을 비롯해 일본, 대만 이용자들이 피해대상이라고 밝혔습니다.

그러면서 한국에서 수집한 데이터는 배송 주소 1억 2천만 건 이상, 주문 데이터 5억 6천만 건 이상, 이메일 주소 3천3백만 건 이상이라고 언급했고, 일본과 대만에서도 이메일 주소만 45만 건 이상 확보했다고 주장했습니다.

그러면서 데이터를 계속 수집하고 있기 때문에 데이터 규모는 더욱 늘어나는 중이라고 친절히 설명을 덧붙입니다.메일은 최근 데이터에 기반한 파일 5개를 첨부했다고 하는데요, 주목해야 할 건 1번과 5번입니다.

먼저 1번. 수집한 데이터에서 @coupang.com으로 끝나는 주소를 2천959개 발견해 이미 보안 관련 경고 메일을 보냈다고 언급합니다. 쿠팡이 개인정보 침해 사실을 신고하기 이전에도 이미 쿠팡 직원들의 이메일을 통해 보안 경고가 수천 개의 경로로 전달됐을 가능성이 있다는 거죠.

또 266개 지역에서 266개의 샘플 데이터를 골라내 '5번 참고내역'으로 첨부했다며 체크해보라고 언급하는데요, 또다시 대문자로 개인 정보가 포함되어 있음이라고 경고합니다.MBC가 더불어민주당 김우영 의원실을 통해 확보한 5번 첨부 파일에는 이용자의 성인용품 구매 이력이 적나라하게 드러나 있었습니다. 부산에 사는 이 이용자는 서울과 부산 등의 주소지로 여러 성인용품을 주문했습니다.

용의자는 쿠팡에 보안의 위험성을 알리기 위한 순수한 목적으로 굳이 266개 지역에서 성인용품을 구매한 각각 1명씩을 추려내 '샘플 데이터'를 만들었던 걸까요?

이런 민감한 데이터가 포함된 이메일을 받고도 쿠팡은 최소 나흘이 지나서 유출 규모를 발표할 수밖에 없었을까요?

만약 이 데이터가 밖으로 공개됐다면, 그리고 @coupang.com 이메일을 쓰고 있는 직원들에게도 이메일로 뿌려졌다면, 쿠팡의 데이터 유출은 단순히 "이메일 3천3백만 건이냐 3천 건이냐" 수준의 문제는 아닐 겁니다.메일 말미에 익명화하겠다는 내용이 반복되어 나오긴 하는데요, 현직 해커에 물어보니 "보통 이런 메일은 돈을 달라는 것"이라고 설명했습니다. 그러면서 "자신의 범죄를 축소하고 보유한 개인정보를 정당화하려고 익명화라는 표현을 썼지만, 아무런 의미가 없다"고 덧붙였습니다. 만약 정말 보안을 걱정했다면 해킹 방법을 알려줬을 거라는 거죠.

메일은 빠른 시일 내에 개선하지 않으면 언론과 인플루언서 등에게 알리겠다고도 했는데요, 정말 그렇게 됐다면 상상만 해도 정말 아찔합니다.더불어민주당 김우영 의원은 "성인용품 구매 이력과 같이 민감한 정보가 유출된다면 쿠팡 이용자들이 받는 피해는 상상 이상"이라며 "이런 협박성 메일을 보낸 유출 용의자가 극도의 불안감과 두려움으로 관련 노트북을 폐기 처분했다는 것은 말도 안 된다"고 강조했습니다.해롤드 로저스 쿠팡 임시 대표는 지난 청문회에서 민감한 정보는 털리지 않았다고 언급하기도 했는데요, 용의자가 보낸 '5번 첨부파일'에 대해서도 민감하지 않다고 이야기할 수 있을까요?

오늘도 국회에서는 동시통역까지 해가며 쿠팡 연석청문회에서는 팽팽한 기싸움이 이어질 것으로 보입니다. 민주당은 청문회 결과에 따라 쿠팡에 대한 국정조사를 예고했는데요, 그때는 '진짜 최고 경영자'가 나와서 제대로 된 해명을 할까요? 이용자들은 지금, 더 이상의 말 바꾸기나 숫자놀음이 아닌 진짜 답과 진정성 있는 사과를 기다리고 있습니다.