쿠팡의 개인정보 유출 사태에 대한..

다들 아시다시피, 또 유출되었다.

이제 뭐 '그런거지'라는 낙담과 함께, 이미 많은 알려진 사건과 더 많은 알려지지 않을 사건을 통해 내 개인정보가 유출되었기 때문에 '내 개인정보'의 가치가 이미 거의 0에 수렴할 만큼 떨어졌을 거라고 안타까움이 있을 뿐이다.

 

바뜨, 그러나

짚고 넘어가고 싶은 것이 있다. 보통 정부 유출 사고가 나면 보내주는 전형적인 메시지가 있는데, 이번에도 어김없이 다음과 같은 메시지가 왔다.

 

1차 메시지 (11월 29일):

 

그리고 약간 더 상세하지만 별 다른 차이가 없는

2차 메시지 (12월 9일):

개인정보 유출사고에 관해 재안내 드립니다.

※ 본 내용은 기 발생한 개인정보 유출사고와 관련한 공지이며, *새로운 유출사고는 없었음*을 말씀드립니다. 앞서 11월 29일부터 안내해 드린 개인정보 유출사고에 대해 사칭, 피싱 등 추가피해 예방을 위한 주의사항을 안내해 드리는 것입니다. 

쿠팡을 이용해 주시는 고객님께 다시 한번 진심으로 사과 드립니다. 
쿠팡은 이번 유출을 인지한 즉시 관련 당국에 신속하게 신고하였으며, 조사에 적극 협력하고 있습니다.

[유출항목]
1. 현재까지 조사된 결과에 따르면, 유출된 정보는 고객님의 이름, 이메일 주소, 배송지 주소록(주소록에 입력된 성명, 전화번호, 주소, 공동현관 출입번호) 그리고 일부 주문정보입니다.
2. 현재까지 고객님의 카드 또는 계좌번호 등 결제정보, 비밀번호 등 로그인 관련 정보, 개인통관부호는 유출이 없었음을 수차례 확인했습니다. 
3. 경찰청에서는 전수조사를 통해 쿠팡에서 유출된 정보를 이용한 2차 피해 의심사례는 현재까지 발견되지 않았다고 발표하였습니다.
4. 쿠팡은 이번 사고 발생 직후 비정상 접근 경로를 즉시 차단하였고, 내부 모니터링을 한층 더 강화하였습니다.

[피해 예방 요령]
출처가 불분명한 링크는 절대 클릭하지 마시고, 해당 문자는 삭제·신고하시기 바랍니다. 
쿠팡 공식 고객센터(1577-7011)가 발송하는 문자 메세지인지 확인해주세요. 공식 연락처는 쿠팡 고객센터 > 고객 공지/소식에서 확인하실 수 있습니다. 
쿠팡의 상품 리뷰·아르바이트·배송기사 등을 사칭한 전화·문자에 유의해주세요. 
쿠팡 판매자와 소통 시 반드시 홈페이지에 기재된 판매자 전화번호를 확인해주세요. 
쿠팡 배송지 주소록에 공동주택·공동현관 출입번호를 입력하셨다면, 해당 공동현관 출입번호를 변경하는 것을 권장합니다.

추가 문의사항은 전담 상담번호인 쿠팡 개인정보보호센터 (1660-3733)로 연락주시기 바랍니다.
감사합니다.
※ 이 공지는 과학기술정보통신부, 개인정보보호위원회, 경찰청의 요청에 따른 조치입니다.

 

2차 메시지는 쿠팡의 의지가 아닌 과학기술정보통신부, 개인정보보호위원회, 경찰청의 요청에 따른 조치로 보내진 것임을 숨기지 않고 있다.

 

그런데 (유사한 업종이 있는 사람으로서 위 내용을 확인이 어렵다는 거 알지만서도) 내가 이해할 수 없는 것은.. 위 메시지에서

 

[1.] 유출된 것 (이름, 이메일, ...)은 어떻게 유출되었는지를 확인했는지? 와
[2.] 유출되지 않은 것(카드, 계좌 번호, ...)은 어떻게 확인했는지(공지할 만큼 확신하는지)를 설명하지 않았다.

 

구체적으로 유출이 된 것은 왜 어떻게 유출되었는지 설명이 없고, 유출이 안된 것은 왜 안되었는지를 기술적으로 확인한 방법을 알려주지 않았다. 누가 가져갔는지는 모르겠지만, 유출이 안된 것을 '공지를 할 수 있을만큼' 100% 확신할 수 있는 기술적인 근거가 뭔지를 알려주지 않는다는 거다.

 

[3.] 경찰청이 전수조사를 했다는데, '전수조사'가 무엇인지를 설명하지 았았다. A. 그 '전체'란 무엇인가?  B. 2차 피해 의심 사례는 몇건인가? C. 그 의심 사례가 쿠팡에서 유출된 정보가 아니라는 것을 확인할 수 있는 방법이 있는가? 

 

[4]. 비정상적 접근 경로를 차단했는데, 앞에 수식어가 없다. '원래 알고 있던' 또는 '예전에는 몰랐으나, 이번에 발견된' 또는 더 구체적으로  '예전는 몰랐으나, 이번에 유출 경로로 확인된' 이나 '예전에는 몰랐으나 이번 유출된 것과는 상관이 없는' 이런 수식어가 필요하다.

 

가장 중요한 부분은 [2.] 유출되지 않는 것의 확인이다.

1. 범인이 잡히고 그(그녀)가 하늘을 우러러 한점 부끄러움이 없는 진실어린 자백을 했는가?

2. 해당 정보가 들어있는 'DB 접근 로그'에 읽었다는 기록이 없는가? (로그는 있는가?.. 이건 있겠지)

3. 로그에 읽은 기록이 없는데, 그 로그를 지운 흔적도 없는가?
4. 로그를 지운 흔적이 없다는 것은 어떻게 확인했는가?
5. 로그에 읽은 기록이 있는데, 이번 사건과 관련이 없다는 것을 확인했는가?

6. 로그에 읽은 기록이 있는데, 암호가 걸려있어 해독이 불가능하므로 유출이 안되었다고 하는 것인가?

7. 그렇다면, 그 암호 해독키는 유출이 안되었는가? 

8. DB 내용이 아닌 DB 저장공간 (디스크) 자체를 통으로 복사하지 않았다는 것은 확인했는가?

....

 

그래서.. 쿠팡에 다음과 같이 상담 채널을 통해 요청했다.

"고객님의 카드 또는 계좌번호, 결제정보, 비밀번호 등 로그인 관련 정보,
개인통관부호는 유출이 없었음을 확인했으며, 안전하게 보호되고 있습니다."
라는 안내가 게시되고 문자로도 왔는데요..
--
1. 유출이 안된 것을 어떻게 기술적으로 확인했는지 알고 싶습니다.
   또 어떻게 안전하게 보호되고 있는지도 알려주세요.
2. 그리고 '이름, 이메일, 배송지 주소록에 입력하신 이름, 전화번호, 주소, 
   공동현관 출입번호, 그리고 일부 주문정보는 유출'되고, 
   왜 계좌/결제 정보/비밀정보/통관번호 등은 유출되지 않았는지도
   기술적인 방법 관점에서 설명해주세요.
3. 또 유출된 것과 그렇지 않은 정보가
   왜 둘다 같은 수준으로 중요하게 보호지지 않았는지도
   기술적으로, 또 법적인 근거를 설명해주세요.
--
해당 내용을 이 글의 답장말고, 
서면으로 회사 대표 또는 보안책임자 책임자 서명을 해서 보내주세요.

제 주소는 '서울 ... 호' 입니다.

(아래에 답장 받는 방법으로는 '문의내역, 전화, 문자, 답변 불필요' 선택 밖에 없는데요.
 이 문의내역 메뉴에서는 서면으로 별도의 위 질문에 대한 설명서를 보내준다는 답만 주시고
 위 질문에 대한 답은 서면으로 보내주세요.
 아니면 서면으로는 보내주는데, 서명은 할 수 없거나,
 또는 기타 제가 (그리고 혹시 모르니 나중에 법원에서) 납득할 수 있는
 어떤 법적인 이유로 서면으로는 답을 보내줄 수 없다는 이유가 있다면 그 이유와 함께,
 해당 설명을 이 문의내역 답변으로 보내주세요)

동시에 (미국의 낮에 한 거라, 한국 시간은 밤 11시쯤) 채팅으로도 같은 내용의 상담을 요청했는데, 한참 기다려 상담사가 배정되었다. 

긴 대화 내용 가운데 핵심적인 몇가지 답에 대해서 코멘트를 하면..

1. "현재 조사 진행 중에 있는 점으로 확인되며 앞서 안내드린 내용 처럼 서면으로 답변은 어려운 점으로 확인됩니다"
--> 조사 중인데 어떻게 유출안된 것을 확인했는지 공지를 했는지 설명이 없고, "앞서 안내드린 내용"에는 문자의 내용만 반복되었을 뿐, "서면으로 답변할 수는 없는" 이유는 없었음. 일단 '조사 중'인데 공지를 어떻게 하게되었는지 질문에 대해서는  

 

2. "과학기술정보통신부, 경찰청, 개인정보보호위원회, 한국인터넷진흥원, 금융감독원 등 관련 당국과 협력하여 조사중입니다." "조사 결과 현재까지 고객님의 카드 또는 계좌번호 등 결제정보, 비밀번호 등 로그인 관련 정보, 개인통관부호는 유출이 없었음을 수차례 확인되어 공지된 점으로 확인됩니다" "이번 사고 발생 직후 비정상 접근 경로를 즉시 차단하였고, 내부 모니터링을 한층 더 강화하였습니다."
그리고 "현재로는 동일 안내로 밖에 상담을 드리기 어려운 점 헤아려 주시면 감사하겠습니다"

--> 이 답은 정답지를 Copy & Paste 한 답으로 별 의미가 없는데, 이번엔 '수 차례'  확인했단다. 또 조사 기관에 '금융감독원'이 추가된 것이 문자 안내와 다른 점이다. 유출이 안된 사실을 확인한 방법을 설명할 수 없다면, "그럼 아직 '유출이 안된 것을 조사중'이라고 해야하지 않을까요?" 라고 다시 질문을 했더니 

 

3. "말씀하신 점에 대해서는 담당부서로 내용 전달하겠습니다"

--> 라고 답이 와서, "내가 이런 질문을 했고, 담당부서가 접수했다는 것을 서면으로 받고 싶다"고 했더니, 아마 상담 담당자가 당황했는지 입력을 했다 지웠다 했고 (입력중 표시(...)가 뜬다. 이 글을 쿠팡이 보면 해당 기능이 없어질 것으로 확신 중이다), 그러다 멈추더니, 꽤 긴 시간이 지나서 다음과 같은 답이 왔다.

 

4.  "고객님 정말 송구스럽게도 요청하신 점에 대해서는 서면 관련 양식이 없기에 작성하여 발송이 어려운 점으로 확인됩니다.  아쉽게도 요청하신 점에 대해서는 도움을 드리기 어려우며, 불편 겪으신 점에 대해서는 담당부서로 내용 전달할 예정입니다. 건의만 드리고 있기에 이 부분에 대한 반영여부 피드백은 받고 있지 않기에 안내를 드리기 어려운 점 안내드립니다"

--> 웬 개소리? "서면 관련 양식이 없기에..."? 세상 모든 질문에 대한 답을 위한 서면 양식을 미리 준비해둬야 한단 말인가?

 

5. 그래서 좀 생각한 뒤에 "양식은 필요없고, 내 문의가 담당부서에 전달되었다는 것만 확인받고 싶다. 쿠팡을 탈퇴하면 이 모든 기록이 사라질 모르니까" 라는 답을 보내기 직전, 생각하는 사이 (위 답이 나온지 5초도 안 지나서),
"고객님, 일정 시간 응답이 없으신 것으로 확인됩니다. 문의 사항이 있으시면 언제든 메시지를 남겨주세요. 상담사를 연결해 드리겠습니다." 메시지가 나의 답 입력 직전에 먼저 왔다.
--> 음.. 빨리 끊고 싶었나보다. 상담사는 죄가 없다. 

6. 그리고 "안녕하세요, 고객님. 새로운 상담사와 연결 중입니다."  메시지가 왔다.

--> 해서, "다시 물어보지 말고 위 상담 내용을 먼저 다 읽고 답하라"고 바로 보냈다. 그리고 났더니,

 

7. "말씀하신 부분에 대해서는 임의적으로 답변이 어려운 점으로 확인되며 담당부서 통해 확인 후 안내해 드릴 수 있어 보입니다.  금일 오후4시까지 채팅창 통해 가능여부 회신드릴 예정입니다 안내드린 시간은 최대 시간이며, 빠른 답변드리고자 노력하겠습니다. 추가문의 사항은 없으실까요"

--> "임의적으로"? '임의'란 무엇인가? 그럼 모든 상담을 상담사가 '임의로' (생각나는 대로?) 했다는 것인가? 더 이상 진전을 기대할 수 없어서 '예, 알겠다'고 했더니

 

8. "네 감사합니다 고객님의 문제를 제 문제처럼 생각하고 확인하겠습니다. 상담사 ... 이었습니다."

--> 라고, 자기 실명을 적었다. 앞쪽의 상담은 AI 였을 가능성이 짙어졌고, 앞쪽 상담의 뒤부분부터 진짜 상담사가 개입했다는 의혹이. 

 

답변을 기다려 보고.. 하여간 서면 답변을 받아볼 생각이다.

그때까지는 탈퇴 보류..

 

*