결제·로그인·개인통관번호 접근 없어…공동현관 번호 2,609건 포함
PC·노트북 통해 단독 범행…외부 전송·추가 유출 정황 미확인
쿠팡 "정부 조사 성실히 협조…보상·재발 방지 대책 마련"
[서울=뉴스핌] 조민교 기자 = 쿠팡은 최근 발생한 개인정보 유출 사태와 관련해 유출자를 특정했으며, 고객 정보 유출에 사용된 모든 장치를 회수해 확보했다고 25일 밝혔다.
현재까지 조사 결과에 따르면 유출자는 전직 직원으로, 약 3,300만명에 달하는 고객 정보에 접근했지만 실제로 저장한 정보는 약 3,000개 계정에 한정됐고 해당 정보 역시 모두 삭제된 것으로 확인됐다. 외부 전송이나 추가 유출은 없었다.
쿠팡에 따르면 유출자는 재직 당시 취득한 내부 보안 키를 탈취해 이름, 이메일, 전화번호, 주소 등 기본적인 고객 정보에 접근했다. 다만 결제정보, 로그인 정보, 개인통관고유번호 등 민감 정보에는 접근하지 않은 것으로 조사됐다. 실제 저장된 고객 정보 중 공동현관 출입번호는 2,609개로 확인됐으며, 이 역시 유출자의 진술과 포렌식 조사 결과가 일치했다.
유출자는 개인용 데스크톱 PC와 MacBook Air 노트북을 사용해 범행을 저질렀으며, 쿠팡 시스템에 대한 불법 접근은 이 두 기기를 통해 이뤄진 것으로 파악됐다. 데스크톱 PC와 4개의 하드 드라이브에서는 공격에 사용된 스크립트가 발견됐다. 유출자는 언론 보도 이후 증거 인멸을 시도하며 MacBook Air를 물리적으로 파손한 뒤 하천에 투기했으나 제공된 진술과 위치 정보를 토대로 잠수부가 이를 회수했고 회수된 기기는 유출자의 진술 그대로 "벽돌이 담긴 쿠팡 에코백" 안에 들어 있었다. 기기 일련번호 역시 유출자의 계정 정보와 일치했다.
쿠팡은 사건 초기부터 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 포렌식 조사를 의뢰했으며 조사 결과는 유출자의 진술과 부합한다고 전했다. 유출자는 단독 범행을 저질렀고, 저장된 고객 정보는 개인 기기에만 존재했으며 제3자에게 전송된 정황은 발견되지 않았다.
쿠팡 관계자는 "이번 개인정보 유출로 고객들에게 큰 우려와 불편을 끼친 점에 대해 사과하며 정부 기관의 조사에 성실히 협조하고 있다"며 "향후 조사 경과에 따라 추가 안내를 진행하고 고객 보상 방안도 조만간 별도로 발표할 예정"이라고 밝혔다. 또 재발 방지를 위한 보안 강화 조치를 전면적으로 추진하겠다고 덧붙였다.
mkyo@newspim.com
