쿠팡, 보안사고 '셀프조사' 결과·보상안 美 SEC 공시
쿠팡이 개인정보 유출 사고 자체 조사 결과와 대규모 고객 보상 계획을 미국 증권거래위원회(SEC)에 공시하면서 정부와 조율되지 않은 '셀프조사' 결과란 사실은 명시하지 않았다. 회사는 정부 지휘 아래 공조 조사가 진행됐다고 설명했지만, 정부는 쿠팡의 자체 조사 결과라는 기존 입장을 유지하며 조사 성격을 둘러싼 해석 차가 지속되고 있다. 29일(현지시간) 쿠팡은 SEC에 제출한 보고서(Form 8-K/A)를 통해, 지난 16일 공시한 사이버보안 사고와 관련한 후속 조사 결과와 고객 보상 프로그램을 공개했다. 해당 공시는 쿠팡이 한국에서 발표한 입장과 조사 타임라인, 보상 계획을 미국 투자자들에게 공식적으로 설명한 것이다. 공시에 따르면 이번 사고의 가해자는 특정됐으며, 현재 쿠팡과 수사 당국에 협조 중이다. 가해자는 사고에 사용된 모든 기기를 제출했고, 쿠팡은 이를 정부에 인계했다. 조사 결과 약 3천300만 개 계정이 접근된 것으로 확인됐지만, 실제로 저장된 고객 데이터는 약 3천명 분에 불과하며 해당 정보는 제3자에게 공유되지 않은 상태에서 삭제된 것으로 파악됐다고 밝혔다. 쿠팡은 조사 과정 전반이 정부 요청과 지휘 아래 진행됐다는 점도 SEC 공시를 통해 명시했다. 정부는 이달 1일 쿠팡에 전폭적인 협조를 요청했고, 2일 공식 서면 공문을 전달했다. 이후 쿠팡은 수주간 거의 매일 정부와 협력해 유출자를 추적·접촉했으며, 자백 확보, 관련 기기 회수, 포렌식 자료 확보 등의 과정에서 정부 지시에 따라 움직였다고 설명했다. 특히 쿠팡은 유출자의 데스크톱과 하드디스크, 하천에서 회수한 노트북 등 물적 증거를 확보해 정부에 즉시 인계했고, 확보한 진술과 자료 역시 지체 없이 전달했다고 밝혔다. 조사 기간 동안 정부 요청에 따라 관련 내용을 외부에 공개하지 않았으며, 그 과정에서 '쿠팡이 독자적으로 조사를 진행했다'는 오해가 확산됐다는 점도 공시와 별도 입장문을 통해 해명했다. 이와 함께 쿠팡은 고객 신뢰 회복을 위한 대규모 보상 계획도 SEC에 공시했다. 쿠팡은 개인정보 유출 사실을 통지받은 고객을 대상으로, 내년 1월 15일부터 약 1조6천850억원(약 12억 달러) 규모의 구매 이용권을 지급할 계획이다. 대상 고객은 약 3천370만명으로, 와우 회원과 비회원, 탈퇴 고객까지 모두 포함된다. 고객 1인당 지급되는 보상은 총 5만원 상당의 구매 이용권으로, 쿠팡 전 상품과 쿠팡이츠, 쿠팡 트래블, 알럭스 등에서 사용할 수 있다. 쿠팡은 해당 보상 비용을 각 거래 시점에서 매출 차감 형태로 회계 처리할 예정이라고도 설명했다. 쿠팡은 공시를 통해 이번 사고에 대한 조사가 현재도 진행 중이며, 추가적인 조사 결과나 중요 사항이 발생할 경우 관련 내용을 지속적으로 공개하겠다고 밝혔다. 다만 이번 공시에 포함된 일부 내용은 미 증권거래법상 '제출(filed)'이 아닌 '제공(furnished)' 정보로 분류돼, 법적 책임 범위에는 포함되지 않는다고 명시했다. 아울러 쿠팡은 향후 조사 결과와 사고 영향에 따라 사업, 재무, 평판에 추가적인 영향을 받을 가능성도 배제할 수 없다고 덧붙였다. 고객 보상 비용, 규제 조사, 소송, 추가 보안 조치 등에 따른 비용 증가 가능성 역시 '미래예측진술' 항목을 통해 함께 언급했다.
