쿠팡이 대규모 고객 개인정보를 유출한 전직 직원을 특정하고 관련 장치를 모두 회수했다고 25일 밝혔다. 또 유출 직원이 접근한 3300만 개의 고객 계정 가운데 3000개의 정보만 실제로 저장했다가 모두 삭제했고 외부 전송 등 추가 유출은 없었던 것으로 확인됐다고 설명했다.
쿠팡은 이날 보도자료를 통해 “디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다”면서 “유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”고 밝혔다.
앞서 쿠팡은 경찰 수사와는 별개로 해외 보안 업체 3곳에 의뢰해 개인정보 유출에 대한 자체 조사를 벌여왔다. 이에 따르면 유출자는 재직 중에 탈취한 내부 보안 키로 3300만 명의 고객 정보에 접근했고 이 중 약 3000개 계정의 정보를 저장했다. 유출된 고객 정보에는 이름, e메일, 전화번호, 주소, 주문 정보와 공동 현관 출입 번호 2609개가 포함됐다. 결제 정보, 로그인, 개인 통관 고유 번호는 포함되지 않았다.
유출자는 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 개인정보를 탈취해 저장했다고 진술했다. 유출자가 제출한 4개의 하드 드라이브에서는 공격에 사용된 스크립트가 발견됐다. 이후 유출자는 언론 등에 데이터 유출 사건이 보도되자 노트북을 물리적으로 파손한 뒤 인근 하천에 버렸다고 진술했다. 쿠팡은 이를 바탕으로 해당 지역에서 노트북을 회수했다고 밝혔다.
쿠팡 측은 “유출자가 단독으로 저질렀고 고객 정보를 외부로 전송한 적은 없다고 진술했다”며 “현재까지의 조사 결과는 유출자의 진술 내용과 부합하며 유출자의 진술과 모순되는 증거가 발견되지 않았다”고 강조했다. 쿠팡은 유출자 진술서와 관련 장치를 즉시 정부에 제출했다고 전했다. 이와 함께 개인정보 유출에 따른 고객 보상 방안도 조만간 발표하겠다고 덧붙였다.
이날 쿠팡의 발표를 접한 정부는 “일방적 주장”이라고 반박했다. 과학기술정보통신부는 “민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 데 대해 쿠팡에 강력히 항의했다”며 불편한 심기를 드러냈다. 과기정통부는 “민관합동조사단에서 정보 유출 종류 및 규모, 유출 경위 등에 대해 면밀히 조사 중"이라며 "쿠팡이 주장하는 내용은 민관합동조사단에 의해 확인되지 않았다"라고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
jikim@sedaily.com
