쿠팡이 최근 발생한 개인정보 유출 사태와 관련, 포렌식 조사를 통해 고객 정보를 유출한 전직 직원을 특정했다. 쿠팡은 고객 정보의 외부 전송은 없었던 것으로 확인됐다면서 유출에 사용된 모든 장치와 저장매체를 확보했다고 강조했다. 개인정보를 유출한 전직 직원은 범행을 자백한 상태다.
쿠팡은 25일 “디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했으며 해당 유출자가 범행 전반을 자백하고 고객 정보 접근 방식에 대해서도 구체적으로 진술했다”고 발표했다.
쿠팡에 따르면, 유출자는 재직 중 취득한 내부 보안 키를 탈취해 고객 계정 약 3300만개의 기본 정보에 접근했으나 실제로 저장한 고객 정보는 약 3000개 계정에 불과한 것으로 조사됐다. 저장된 정보에는 이름, 이메일 주소, 전화번호, 주소, 일부 주문 정보와 함께 공동현관 출입 번호 2609개가 포함됐다.
조사 결과 해당 정보는 제3자에게 전송된 사실이 없는 걸로 파악됐다. 유출자는 관련 언론 보도를 접한 직후 극도의 불안감 속에서 저장해둔 모든 고객 정보를 삭제했다고 진술했다. 포렌식 분석에서도 외부 유출 흔적은 발견되지 않았다는 것이 쿠팡 측의 설명이다.
유출자는 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도했고 일부 정보를 해당 기기에 저장했다고 진술했다. 포렌식 조사 결과 유출자가 제출한 데스크톱 PC와 함께 사용된 하드디스크 드라이브 4대에서 공격에 사용된 스크립트가 발견되면서 진술 내용이 사실로 확인됐다.
또한 유출자는 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌과 함께 담아 하천에 버렸다고 진술했다. 쿠팡은 진술에 따라 하천을 수색한 결과 해당 노트북을 회수했으며 일련번호가 유출자의 아이클라우드 계정에 등록된 번호와 일치함을 확인했다고 밝혔다.
쿠팡은 “사건 초기부터 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 의뢰해 엄격한 포렌식 조사를 진행해왔다”며 “현재까지 조사 결과는 유출자의 진술과 모두 부합하고 모순되는 증거는 발견되지 않았다”고 강조했다.
쿠팡은 지난 17일부터 유출자의 진술서와 관련 장치가 확보되는 즉시 정부에 자료를 제출해왔다고 설명했다. 다만 개인정보 유출자의 진술 확보와 조사 과정이 경찰이나 민관합동조사단이 아닌 쿠팡 주도로 이뤄진 배경에 대해서는 “제공된 정보 외에는 확인할 수 없다”며 함구했다.
쿠팡은 “이번 개인정보 유출 사태로 고객들에게 큰 우려를 끼친 점에 대해 책임을 통감한다”며 “수많은 국민이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다”고 밝혔다. 이어 “향후 조사 경과에 따라 지속적으로 안내할 예정이며 고객 보상 방안도 조만간 별도로 발표할 계획”이라고 덧붙였다.
