쿠팡, 고객정보 유출 용의자 특정…저장장치도 회수
쿠팡이 3천370만개에 달하는 대규모 개인정보를 유출한 용의자를 특정했다. 회사는 범행에 사용된 장치를 모두 회수했으며, 조사 결과 유출된 고객 정보가 외부로 추가 유출되지 않은 것으로 확인됐다. 다만 정부는 아직 조사 중인 사항으로, 확인되지 않은 쿠팡의 일방적인 주장일뿐이라고 반박했다. 쿠팡은 25일 입장문을 통해 "디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다"며 "유출자를 행위 일체를 자백하고 고객 정보에 접근하기 위한 방식을 구체적으로 진술했다"고 밝혔다. 또 쿠팡은 고객 정보를 접근 및 탈취하는데 사용된 모든 장치와 하드 드라이브를 검증된 절차에 따라 모두 회수해 안전하게 확보했다고 주장했다. 현재까지 조사 결과 유출자는 탈취한 보안 키를 사용해 3천300만 고객 계정의 기본적인 고객 정보에 접근했고 약 3천개 개정의 고객 정보(이름·이메일·전화번호·주소·일부 주문 정보)만 실제 저장했다. 또 여기에 포함된 공동현관 출입번호는 2천609개로, 사태에 대한 언론 보도를 접한 후 저장했던 정보를 모두 삭제했다. 아울러, 고객 정보 중 제3자에 전송된 데이터는 일체 없는 것으로 파악됐다. 쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 고객 개인정보를에 접근했다고 진술했다. 데이터 로그 및 포렌식 조사를 통해 해당 접근은 탈취된 내부 보안 키를 이용했으며 접근된 데이터의 유형도 유출자가 진술될 범위에 한정됐음을 확인했다. 특히 결제 정보, 로그인 관련 정보, 개인통관번호에 대한 접근은 없었다고 설명했다. 유출자를 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도했고 접근한 정보 중 일부를 해당 기기에 저장했다. 유출자는 해당 데스크톱 PC와 PC에 사용된 4개의 하드 드라이브를 제출했으며 분석 결과 이들 저장장치에서 공격에 사용된 스크립트가 발견됐다. 이번 범행은 유출차 단독으로 저지른 것으로 약 3천개의 고객 정보가 개인 외부로 전송된 적은 없는 것으로 조사됐다. 회사는 "정부 조사에 적극 협조할 것이며 2차 피해를 예방하는데 최선을 다하겠다"며 "이번 사태를 계기로 재발 방지를 위한 모든 방안을 강구할 것"이라고 약속했다. 이번 쿠팡 발표와 관련, 과학기술정보통신부는 민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다고 밝혔다. 과기정통부는 "현재 민관합동조사단에서 정보유출 종류 및 규모, 유출경위 등에 대해 면밀히 조사 중에 있는 사항"이라면서 "쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 덧붙였다.
