3,370만 명의 고객 개인정보 유출 사고를 낸 쿠팡이 해킹 피해 직후 직원들에게 사내 업무 데이터를 대규모로 삭제하도록 지시한 것으로 확인됐다. 쿠팡 직원들은 회사의 이례적인 내부 데이터 삭제가 개인정보 유출 피해와 관련된 것 아닌지 의심하고 있다. 

4일 한국일보 취재를 종합하면 쿠팡은 지난 7월 중순 무렵 사내 업무정보 공유 사이트인 '쿠팡위키'의 삭제 기준을 강화했다. 쿠팡위키는 쿠팡의 모든 계열사 업무 정보를 공유하는 곳인데, 온라인 백과사전 사이트인 나무위키와 비슷한 형태다. 쿠팡 직원 A씨는 "쿠팡은 본사 규모도 크지만 자회사도 많기 때문에 본사와 쿠팡이츠,쿠팡 플레이, 쿠팡 풀필먼트 등 계열사의 모든 업무 자료를 모아 놓은 곳이 쿠팡위키"라며 "이전에는 쿠팡위키 데이터에 대한 삭제 규정이 없었지만 7월 중순부터는 15개월 이상 된 자료는 모두 삭제하도록 바뀌었다"고 전했다. 

쿠팡위키에는 방대하고 자세한 업무 관련 정보가 입력돼있다. 이 때문에 신입사원 연수나 사내 교육, 업무 인수인계에도 적극 활용됐다고 한다. A씨는 "엄청난 데이터를 갑자기 삭제해 직원 사이에서는 불평도 많고 의아함이 컸다"고 말했다. 직원 B씨도 당시 쿠팡 소속이 확인돼야 글을 쓸 수 있는 직장인 커뮤니티에 "일할 시간도 없는데 (자동 삭제되는) 데이터를 (별도 공간에) 보존하느라 힘들었다"며 "뭐 그렇게 숨길 것이 많고 잘못한 것이 많아서 이러나. 쿠팡 다니기 정말 힘들다"고 하소연했다. 또 다른 직원 C씨는 "데이터 비활성화도 아니고 데이터 삭제는 도대체 누구 머리에서 나온 것인가"라며 불만을 토로했다.

〈h3 class="editor-tit">임직원 로그인 키 입력 주기도 짧아져〈/h3>

이 무렵 쿠팡 임직원 로그인 키인 '옥타(OKTA)'를 입력하는 주기도 짧아졌다. A씨는 "옥타는 직원이 내부 서버에 접속할 때 입력하는 인증 키"라며 "장시간 자리를 비우지 않는다면 하루 3번 정도 입력했는데 7월 초순부터는 하루 10번 넘게 입력하도록 바뀌어 이상했다"고 설명했다. 또 "회사는 전체 사원을 대상으로 옥타 인증을 수행했는지 조사하기도 했다"고 말했다. 

수상한 데이터 삭제 정황은 또 있다. 쿠팡은 6월 15일부터 사내 메신저 '슬랙'과 사내 메일, 마이크로소프트 프로그램(원노트, 엑셀) 등의 삭제 규정도 강화했다. 슬랙은 저장 기간이 두달에서 일주일로 줄었다. 메일은 보존 기간 한달, 마이크로소프트 프로그램은 보존 기간 15개월로 정해졌다. A씨는 "쿠팡 모든 업무는 슬랙으로 이뤄지는데 갑자기 일주일 치 자료를 제외하고 모두 삭제한다고해 직원들 반발이 컸다"며 "직원들 불만이 많다보니 회사가 새로운 규정 적용 시기를 조금 미뤄 6월 24일부터 앞선 데이터들을 삭제했다"고 주장했다. 공교롭게도 6월 24일은 쿠팡이 처음 개인정보 유출 피해를 당했다고 밝힌 날이다.

이 같은 사내 데이터 삭제 기준 강화를 두고 쿠팡 직원 다수는 "뭔가 큰 일이 터졌구나"라는 것을 직감했다고 한다. 쿠팡 직원들이 글을 남길 수 있는 직장인 커뮤니티에는 애초에 회사가 6월 24일 이전에 개인정보 유출 피해나 비정상적 공격을 인지한 것 아니냐는 의심도 있다. 한 쿠팡 직원은 "이미 (개인정보가) 털려서 내부에서 보안 대책이 논의됐고 이 과정에서 7월부터 모든 쿠팡위키 관리를 시작한 것 아니냐"고 적었다. A씨도 "당시 회사는 데이터 보존에 들어가는 비용을 아끼기 위해 삭제 규정을 강화한다고 설명했지만 아무도 이 말을 믿지 않았다"며 "쿠팡은 자체 데이터센터까지 갖췄고 정보기술(IT) 기업을 표방하는 기업이다. 다들 쉬쉬했지만 무언가를 덮기 위해 데이터를 삭제한다고 의심했다"고 전했다. 

반면 쿠팡 측은 당시 데이터 삭제는 개인정보 유출과 관계 없는 보안 강화 대책이었다고 반박했다. 우연히 개인정보 유출 피해와 시점이 맞물렸을 뿐 통상적인 사내 정보 보호 정책이라는 입장이다.

https://m.hankookilbo.com/News/Read/A2025120411050002428