단독｜쿠팡의 수상한 ‘데이터 삭제’…직원들 “큰일 터졌구나 싶었다”

 

3,370만 명의 개인정보가 유출된 쿠팡 사태가 이어지는 가운데, 내부에서는 유출 직후 대규모 데이터 삭제가 이례적으로 진행됐다는 정황이 계속 드러나고 있다. 사내 업무위키, 메신저, 이메일, 프로그램 자료까지 한꺼번에 삭제 규정이 강화되면서 직원들은 “이건 뭔가 있다”, “큰일이 벌어진 걸 미리 알았던 것 아니냐”라는 의구심을 가졌다.

 

 

이번 논란은 단순한 기술적 조치가 아니라, ‘유출된 정보를 덮기 위한 사후 정리 작업이 아니었는가?’라는 의심까지 제기되는 상황이다. 쿠팡 내부 직원들의 증언은 이 의심을 더 짙게 만들고 있다.

■ 쿠팡위키 15개월 이상 자료 ‘전부 삭제’ 지시

쿠팡은 올 7월 중순부터 사내 업무정보를 모아둔 ‘쿠팡위키’의 삭제 기준을 대폭 강화했다. 그동안 별다른 삭제 규정 없이 운영되던 곳이었지만, 갑작스럽게 “15개월이 지난 자료는 전부 삭제”라는 지침이 내려온 것이다.

쿠팡위키는 회사의 거의 모든 업무가 기록되는 핵심 데이터 창고다. 본사는 물론 쿠팡이츠, 쿠팡플레이, 풀필먼트 등 계열사 업무까지 총망라된 집합체다.

직원 A 씨는 당시 상황을 이렇게 전했다. “업무 인수인계, 교육까지 쿠팡위키로 해결하는데 갑자기 엄청난 양의 자료를 날리라고 해서 다들 충격이었다.” 다른 직원 B씨도 “자동 삭제되기 전에 자료를 백업하느라 일할 시간도 없었다”라고 했다.

이상했던 건 그 시점이었다. 쿠팡이 공식적으로 개인정보 유출 사실을 밝힌 날짜(6월 24일)와 삭제 규정 강화 시점(7월 초~중순)이 절묘하게 맞물렸다는 점이다. 직원 커뮤니티에서는 “미리 뭔가 감지한 게 아니냐”, “누가 봐도 이상한 타이밍”이라는 글이 이어졌다.

■ ‘옥타(OKTA)’ 인증 횟수도 갑작스런 증가

7월 초부터 직원들의 내부 서버 접속용 인증키 ‘옥타(OKTA)’ 입력 횟수도 하루 3번에서 10번 이상으로 급증했다. A 씨는 “누가 서버에 접근하는지 추적하려는 느낌이었다”라고 설명했다.

일부 직원들은 “전체 직원에게 옥타 인증 수행 여부를 조사한 것도 평소에는 없던 일”이었다며 의심을 나타냈다.

■ 6월 24일… 개인정보 유출 공개와 같은 날 이뤄진 '슬랙·메일 삭제'

더 수상한 정황도 있다. 쿠팡은 6월 15일부터 슬랙·사내 메일·MS 오피스 자료 삭제 규정을 강화했다. 하지만 슬랙의 경우 저장 기간이 기존 두 달 → 일주일로 대폭 줄어들었다. 업무의 대부분이 슬랙에서 이루어지는 쿠팡 구조상 매우 이례적인 조치였다.

직원들은 강하게 반발했고, 회사는 결국 적용 시점을 6월 24일로 미뤘다. 그런데 문제는 바로 그 날짜가 쿠팡이 개인정보 유출 사실을 처음으로 확인했다고 밝힌 날과 동일하다는 점이다.

직원 C씨는 “문서 비활성화도 아니고 삭제를 한다는 발상 자체가 이상했다”며 “이건 누가 봐도 뭔가 감추고 싶은 게 있는 것처럼 보였다”라고 말했다.

■ 직원들 “미리 알고 삭제하는 것처럼 느껴졌다”

직장인 커뮤니티에는 “7월 이전에 이미 내부에서 뭔가 알고 있었던 것 아니냐”는 의견들이 쏟아졌다. “데이터센터까지 가진 회사가 갑자기 저장 비용을 이유로 삭제한다고?” “누가 봐도 말이 안 되는 설명이었다.” 이런 반응이 대부분이었다.

쿠팡은 IT기업을 표방하고 있으며 데이터 저장 비용이 문제가 될 만한 기업이 아니다. 직원들은 회사 측 설명을 믿지 않았고, 불신은 커져갔다.

한 직원의 말은 의미심장하다. “보안사고가 이미 내부에서 감지됐고, 그 시점에 (문제 자료가) 남아있지 않게 정리하려 한 것 같았다.”

■ 쿠팡 개인정보 유출 사건의 전말

쿠팡은 6월경 시스템 취약점이 악용돼 고객 계정 약 3,370만 개가 유출되는 초대형 사고를 겪었다. 이름, 이메일, 전화번호, 주소, 일부 주문 내역 등이 외부로 빠져나갔다. 범인은 내부 인증 관련 업무를 담당했던 전직 직원으로 확인됐다.

문제는 쿠팡이 유출 사실을 알고 있었던 시점과 실제로 공지한 시점 사이의 간극이다. 그리고 그 사이에 집중적으로 일어난 대규모 데이터 삭제. 이 두 지점이 직원들의 의심을 더욱 키우고 있다.

■ 결론: 우연인가, 대응인가… 직원들이 말하는 ‘타이밍의 수상함’

데이터 삭제는 기업 내부 보안 정책 정비 과정에서 일어날 수도 있다. 그 자체로 범죄는 아니다. 하지만 ‘언제’ 삭제됐는지가 문제다. 개인정보 유출이라는 초대형 사고 직후, 회사가 삭제 규정을 동시에 강화했다면 이는 “사고 관련 기록을 제거하려는 것이 아니냐”는 의심을 피하기 어렵다.

직원들의 말처럼 “큰일이 터졌다는 걸 내부가 먼저 알고 조치를 시작한 것 아니냐”는 질문은 여전히 남아 있다. 쿠팡의 해명과 조사가 끝나기 전까지, 이번 데이터 삭제 논란은 단순한 오해라고 보기 어려울 것이다.