쿠팡 "고객정보 유출 직원 특정…모든 정보 회수" (종합)

[아이뉴스24 송대성 기자] 쿠팡이 최근 불거진 대규모 고객 개인정보 유출 사건과 관련해 전직 직원 1명을 특정하고 정보 탈취에 사용된 모든 장비를 회수했다고 25일 밝혔다.

내부 조사와 외부 전문기관의 포렌식 분석을 통해 고객 정보의 외부 전송이나 추가 유출 정황은 발견되지 않았다고 강조했다.

쿠팡에 따르면 해당 전직 직원은 내부 시스템에서 사용되는 보안 키를 불법적으로 확보해 약 3300만명의 고객 계정에 접근했다. 다만 접근이 실제 정보 탈취로 이어진 계정은 제한적이었던 것으로 조사됐다. 이 직원이 별도로 저장한 정보는 약 3000개 계정분으로 이름·이메일·전화번호·주소·일부 주문 정보 등으로 한정됐다.

저장된 정보 가운데에는 공동현관 출입번호 2609개가 포함돼 있었으나 결제 수단 정보나 로그인 정보, 개인통관고유번호 등 고위험 민감 정보는 포함되지 않은 것으로 확인됐다고 밝혔다. 쿠팡은 현재 해당 정보 역시 모두 삭제됐으며 외부로 전송되거나 추가로 복제된 정황은 없다고도 했다.

쿠팡은 사건 인지 직후 디지털 지문(digital fingerprints) 분석 등 내부 포렌식 기법을 통해 유출자를 특정했다. 이후 관련 행위에 대한 조사 과정에서 유출자는 고객 정보 접근 및 저장 사실을 모두 인정한 것으로 전해졌다.

정보 탈취에 사용된 데스크톱 PC 1대와 맥북 에어 노트북 1대, 하드드라이브 4개 등 관련 장비는 모두 검증 절차에 따라 회수돼 안전하게 확보됐다. 조사 과정에서는 유출자가 언론 보도 이후 증거를 은폐·파기하기 위해 맥북 에어 노트북을 물리적으로 파손한 뒤 벽돌을 넣은 가방에 담아 인근 하천에 투기한 사실도 확인됐다.

쿠팡은 유출자의 진술에 따라 잠수부를 투입해 해당 노트북을 회수했으며 기기 일련번호가 유출자의 아이클라우드 계정 정보와 일치함을 확인했다고 밝혔다. 회사 측은 이를 통해 확보된 장비 역시 포렌식 검증 대상에 포함됐다고 설명했다.

쿠팡은 사건 초기부터 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 글로벌 사이버 보안 전문업체 3곳에 포렌식 조사를 의뢰해 독립적인 분석을 진행하고 있다. 현재까지의 조사 결과는 유출자의 진술 내용과 일치하는 것으로 나타났다는 게 회사 측 설명이다.

아울러 쿠팡은 지난 17일부터 유출자의 진술서와 관련 장비를 순차적으로 정부 기관에 제출했으며, 현재 진행 중인 관계 당국의 조사에도 성실히 협조하고 있다고 밝혔다.

쿠팡은 이번 사안과 관련한 고객 보상 방안을 조만간 별도로 발표할 예정이다.

쿠팡 관계자는 "정부 조사에 적극 협조해 2차 피해를 예방하는 데 최선을 다하고 있다"며 "이번 일을 계기로 개인정보 보호 체계를 전반적으로 점검하고 재발 방지를 위한 모든 방안을 강구하겠다"고 말했다.