쿠팡 개인정보 유출범이 회사에 협박 메일을 보내면서 별도의 금전을 요구하지 않은 것으로 알려져 범행 동기에 대한 의문점이 커지고 있다.

2일 경찰과 유통업계에 따르면 최근 쿠팡 측에 고객 정보를 유출했다는 내용의 협박 메일을 보낸 성명불상의 용의자 A 씨는 회사 측에 금품을 요구하지는 않은 것으로 확인됐다.

보통 기업을 대상으로 한 정보 유출 협박이 거액의 금전을 뜯어내기 위한 '랜섬웨어' 형태나 금전 거래를 전제로 한 협상 시도인 점을 감안하면 이례적인 경우다.

보안 전문가들은 범인이 금전을 즉각 요구하지 않은 것을 두고 일종의 '심리전' 목적이 있을 수 있다는 분석을 내놨다.

박춘식 서울여대 정보보호학과 교수는 용의자가 협박 메일에서 돈을 요구하지는 않았지만 결국 금전적 목적을 위한 사전 작업일 가능성이 있다고 짚었다.

그는 "일단 (정보를) 던져보고 유출됐다는 것을 인정하라고 하고, 이후에 회사에서 인정하기 시작하면 협상을 요구하면서 돈을 요구할 수 있다"라며 회사와 쿠팡 고객들이 받는 이메일이 일종의 미끼일 수 있다고 밝혔다.

지난달 16일부터 쿠팡 회원들이 '당신의 정보를 알고 있다'는 내용의 협박 메일을 받았고 쿠팡의 고객센터에도 지난 28일 '보안을 강화하지 않으면 유출 사실을 알리겠다'는 협박성 메일이 왔다.

김명주 서울여대 바른 AI센터장은 회사 측에 돈을 요구하지 않아도 다크웹 등에 데이터를 쪼개 팔거나 경쟁사들에게 고객 정보를 되파는 방식으로 이미 유출자가 경제적 목적을 달성했을 가능성이 있다고 짚기도 했다.

유출범이 과시적 목적으로 이를 회사에 고지한 것일 수 있다는 분석도 나온다. 최경진 가천대 법학과 교수는 "정말 금전적인 요인이 없다면 몇 가지 다른 이유가 있을 수 있다"며 "해커들의 경우 자신의 능력을 과시하기 위해 이런 일을 하기도 한다"고 말했다.

하지만 현재 쿠팡 측이 '외부 침입 흔적은 없었다'라고 밝힌 만큼 개인정보 유출은 해킹이라기보다는 내부 직원의 소행으로 추정되고 있다. 특히 유통계에서는 유출범이 쿠팡을 퇴직한 전직 중국인 직원이라는 이야기가 나오고 있다.

이에 최 교수는 "(용의자가) 어떻게 회사에서 나오게 됐는지는 알 수 없지만 퇴직 이후에 그것에 대한 보복이나 불만으로 인해 (유출을) 할 수도 있을 것"이라고 말했다.

김승주 고려대 정보보호대학원 교수도 "해고에 앙심을 품은 중국인 엔지니어가 자신이 보유하던 주요 키 접근 권한을 이용해 수개월에 걸쳐 고객들의 인증 토큰을 생산하고 이를 통해 고객 정보를 수집한 사건"으로 의심된다는 분석을 내놓기도 했다.

다만 전문가들은 현재 진행 중인 경찰과 민관합동조사단의 수사와 조사가 마무리돼야 정확한 동기 등을 파악할 수 있을 것이라며 이를 현재 시점에서 예단하기는 어렵다고 밝혔다.

고객 정보를 유출한 사람과 쿠팡 이용자, 쿠팡 고객센터에 메일을 보낸 이들이 동일인이 아닐 가능성도 제기된다. 유출자가 다크웹 등에 이미 정보를 공개했고 이를 바탕으로 다른 이들에 의해 협박이 이뤄졌을 수도 있다는 것이다.

한편, 경찰은 용의자의 신원에 대해 신중한 입장을 보이며 수사를 진행하고 있다.

서울경찰청 관계자는 전날(1일) 정례 기자간담회에서 "지난달 25일 쿠팡 측으로부터 고소장을 접수해 수사에 착수했다"며 "쿠팡 측으로부터 서버 로그 기록 제출을 받아서 분석 중에 있고, 피의자가 범행에 사용한 IP 확보해서 지금 추적 중"이라고 밝혔다.

경찰은 용의자가 중국 국적의 전직 쿠팡 직원이라는 일부 보도에 대해서는 "수사가 진행 중이라 국적이 어디라고 이야기할 수 없다"라며 모든 가능성을 열어두고 수사 중이라고 선을 그었다.

또한 경찰은 지난달 16일 고객들에게 협박 메일이 발송된 후 쿠팡 측의 신고가 늦어진 경위와 기술적 취약점 등에 대해서도 전반적으로 들여다볼 예정이다.

potgus@news1.kr