쿠팡, 고객정보 유출 용의자 어떻게 찾았다는 걸까
대규모 개인정보 유출 사태를 겪은 쿠팡이 용의자를 특정하기 위해 잠수부까지 동원했다. 용의자가 범행에 사용된 증거 은폐를 시도하면서다. 증거 회수 결과, 추가적인 개인정보 유출이 없는 것으로 확인됐다. 쿠팡은 25일 지난달 발생한 3천370만 개 계정 유출 사고의 용의자를 특정했다고 발표했다. 이와 함께 쿠팡은 범행에 사용된 장치를 모두 회수했으며, 추가 유출이 없다는 것도 확인했다고 강조했다. 쿠팡은 지난달 18일 경찰에 개인정보 유출 피해를 확인했다는 신고를 접수했다. 당시 쿠팡은 4천500개의 고객 정보가 유출된 것으로 파악했으나, 후속 조사 결과 약 3천370만개가 무단 유출된 것으로 확인됐다. 이 과정에서 쿠팡이 밝힌 유출 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문정보다. 회사는 어떤한 결제 정보, 신용카드 번호, 로그인 정보도 유출되지 않았다고도 했다. 쿠팡 대규모 개인정보 유출 사건 유력 용의자로는 인증 시스템 개발자인 전 직원이 지목됐었다. 회사는 사고 초기 포렌식 조사를 진행하기 위해 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰했다. 조사 결과, 유출자는 탈취한 보안 키를 사용해 고객 계정의 기본 정보에 접근했고, 약 3천개 계정의 고객 정보를 저장했다. 다만, 사태에 대한 언론보도를 접한 후 정보를 모두 삭제한 것으로 파악됐다. 유출자 진술 조사 과정에서 쿠팡은 정확한 사실 관계 확인을 위해 잠수부까지 동원했다. 유출자가 범행에 이용한 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던지는 등 증거 은폐, 파기를 시도했기 때문이다. 잠수부들은 유출자가 제공한 지도와 설명을 바탕으로 해당 하천에서 맥북 에어 노트북을 회수했으며 회수된 기기는 유출자의 진술에 부합하는 상태로 발견됐다. 뿐만 아니라 노트북의 일련번호도 유출자의 아이클라우드 계정에 등록된 번호와 일치했다. 쿠팡은 "유출자는 해당 고객 정보는 개인 데스크톱 PC와 맥북 에어 노트북에만 저장돼 있으며 외부로 전송된 적은 없다고 진술했다"며 "현재 조사 결과는 유출자의 진술 내용과 일치한다며 향후 진행될 조사 경과에 따라 지속적으로 안내를 드릴 예정"이라고 안내했다. 그러면서 정부 조사에 적극적으로 협조하겠다는 의사와 함께 재발 방지 노력도 약속했다. 이번 쿠팡 발표와 관련, 과학기술정보통신부는 민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다고 밝혔다. 과기정통부는 "현재 민관합동조사단에서 정보유출 종류 및 규모, 유출경위 등에 대해 면밀히 조사 중에 있는 사항"이라면서 "쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 덧붙였다.
