쿠팡이 개인정보 유출 사건과 관련해 전직 직원을 유출자로 특정하고 관련 증거물을 모두 확보했다고 25일 밝혔습니다.

회사 측은 포렌식 조사를 통해 유출자의 자백을 받아냈으며, 고객 정보가 외부로 전송되지 않았다고 전했습니다.

쿠팡 본사 / 뉴스1

25일 쿠팡은 보도자료를 통해 "디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다"며 "유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다"고 설명했습니다.

조사 결과에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 개인용 데스크톱 PC와 맥북 에어 노트북으로 공격을 시도했습니다.

유출자는 탈취한 보안 키를 사용해 고객 계정 3,300만개의 기본적인 고객 정보에 접근했으나, 이 중 약 3,000개 계정의 고객 정보만 실제로 저장했습니다.

저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문정보, 2,609개의 공동현관 출입 번호가 포함됐습니다.

쿠팡은 유출자가 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며, 고객 정보 중 제3자에게 전송된 데이터는 일절 없는 것으로 조사됐다고 강조했습니다.

기사의 이해를 돕기 위한 자료 사진 / gettyimagesBank

유출자는 언론 보도를 접한 직후 극도의 불안에 빠져 저장된 고객 정보를 모두 삭제했다고 진술했습니다. 또한 데이터 유출에 사용된 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌을 채워 하천에 던졌다고 자백했습니다.

쿠팡은 유출자의 진술에 따라 해당 하천을 수색해 벽돌이 담긴 쿠팡 에코백에서 노트북을 회수했습니다. 회수된 노트북의 일련번호는 유출자의 아이클라우드 계정에 등록된 일련번호와 정확히 일치했습니다.

포렌식 조사 결과, 유출자가 제출한 데스크톱 PC와 PC에서 사용된 하드디스크 드라이브 4개에서 공격에 사용된 스크립트가 발견됐습니다.

쿠팡은 "현재까지 조사 결과는 유출자의 진술 내용과 부합하며, 유출자의 진술과 모순되는 증거가 발견되지 않았다"고 밝혔습니다.

기사와 관련 없는 자료 사진 / 사진 = 인사이트

쿠팡은 사건 초기부터 엄격한 포렌식 조사를 위해 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 최상위 글로벌 사이버 보안 업체 3곳에 조사를 의뢰했습니다.

회사는 지난 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 자료가 확보되는 즉시 정부에 제출해왔다고 설명했습니다.

다만 개인정보 유출자의 진술 확보 등을 경찰이나 민관합동조사단이 아닌 쿠팡이 수행하게 된 이유는 확인되지 않았습니다.

쿠팡은 조사 주체에 대한 질문에 "현재로서는 제공된 정보 외에는 확인할 수 없다"고 답했습니다.

쿠팡은 "최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감한다"며 "쿠팡 개인정보 유출 사태로 인해 수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다"고 밝혔습니다.

회사는 "향후 진행될 조사 경과에 따라 지속적으로 안내를 할 예정"이라며 "이번 사태로 인한 고객 보상 방안을 조만간 별도로 발표할 것"이라고 덧붙였습니다.