1일 대구의 한 쿠팡 이용자가 비밀번호를 변경하고 있다. 뉴스1

경찰이 쿠팡 3370만개 고객 정보가 유출된 사태와 관련 협박성 이메일 계정 2개를 추적하고 있다. 경찰은 개인정보 유출 사실을 암시한 이메일 다수가 쿠팡 고객센터와 쿠팡 고객에게 전달된 것으로 파악했다. 경찰은 범행에 사용한 것으로 보이는 아이피(IP)를 확보해 수사하고 있다.

1일 서울경찰청 사이버수사대에 따르면 지난달 25일 쿠팡 고객센터는 고객 정보 유출을 암시하는 이메일을 받았다. 쿠팡 고객센터가 받은 협박성 이메일엔 “회원 개인정보를 갖고 있다. 보안을 강화하지 않으면 유출 사실을 언론에 알리겠다”는 내용이 담겼다. 금전 요구는 없었다고 한다.

이보다 앞선 지난달 16일 쿠팡 고객 다수도 유사한 내용의 이메일을 받았다고 한다. 이 중 일부 고객은 “내 이름과 주소 등을 알고 있다는 내용의 메일을 받았다”며 쿠팡 측에 민원을 제기했고, 쿠팡이 자체 조사에 나섰다. 이후 18일 쿠팡은 “4500개의 이용자 계정이 노출됐다”고 밝혔다.

경찰은 이렇게 고객들과 쿠팡 측이 받은 발신자 이메일 계정이 각각 다른 2개라고 밝혔다. 아울러 2개의 이메일을 보낸 사람이 동일인인지, 또 이메일 발신자와 고객 정보 유출자가 같은 사람인지 여부를 수사하고 있다. 경찰은 “쿠팡에서 로그 기록을 받아 분석하고 있다”며 “범행에 사용된 아이피(IP) 주소를 확인해 국제공조를 통해 추적 중”이라고 설명했다.

이번 유출 사태의 핵심 관련자가 중국 국적의 쿠팡 전 직원이고, 해당 직원은 한국을 떠난 상태란 주장과 관련 경찰은 “수사로 확인된 사실은 아니다”고 말했다. 경찰 관계자는 “국적 등 피의자를 특정하기 위한 수사는 진행 중”이라고 덧붙였다. 이어 “(피의자가) 언론에 나온 사람으로 특정되면 국제 공조가 필요하면 해당 국가와 국제 공조를 하겠다”고 말했다.

앞서 경찰은 지난달 18일 쿠팡에서 개인정보 유출 피해를 확인했다는 신고를 받고 입건 전 조사(내사)에 착수했다. 이후 25일 쿠팡 측이 정보통신망 침입 혐의로 ‘성명 불상자’를 수사해달라는 고소장을 냈고, 경찰은 28일 고소인을 조사했다. 이후 경찰은 쿠팡 시스템 내부의 기술적 취약점까지 조사 범위를 확대할 방침이다.

경찰에 따르면 1일까지 유출된 쿠팡 고객 정보 3370만건 가운데 피싱·스미싱 등 2차 피해가 접수된 사실은 없다. 경찰청 국가수사본부는 관련 2차 피해 범죄를 예방하기 위한 활동을 진행할 계획이다. 국수본 관계자는 “유출된 쿠팡 고객 개인정보가 다크웹 상에서 유통·판매되는지, 이번 사태 관련 허위사실·가짜뉴스 등의 유포도 모니터링할 예정”이라고 말했다.

한편 쿠팡에서 고객 정보가 보관된 서버를 여는 열쇠(인증키)가 장기간 갱신되지 않고 방치돼 이번 사태가 일어났다는 주장도 나왔다. 1일 국회 과학기술정보방송통신위원회 소속 최민희 의원(더불어민주당)에 따르면, 이번 유출 사태는 쿠팡의 내부 전산망 접속 프로세스(인증) 담당 개발자가 퇴사 후 약 5개월 동안 내부 시스템에 몰래 접근해 고객 정보 데이터를 빼낸 것으로 추정된다.

최 의원실에 제출한 쿠팡 자료에 따르면, 쿠팡은 인증키 유효 기간에 대해 “5~10년으로 설정하는 사례가 많다는 걸로 알고 있다”고 답했다. 인증키는 시스템에 출입증을 발급하는 도장이다. 퇴사 후 시스템에 접근할 수 있는 출입증(토큰)은 폐기돼도 만약 인증키가 유효하면 새 출입증을 언제든 만들 수 있다고 한다.

이에 대해 최 의원실은 “출입증 생성에 필요한 인증키를 담당 직원 퇴사 시 삭제하거나 갱신하지 않고 이를 방치해 내부 직원이 악용한 것”이라고 말했다. 쿠팡 측은 이번 해킹에 악용된 인증키 유효 기간에 대해 경찰 수사를 이유로 답하지 않았다고 한다.