쿠팡이 대규모 고객 개인정보를 유출한 전직 직원을 특정하고 관련 장치를 모두 회수했다고 25일 밝혔다. 또 유출 직원이 접근한 3300만개 고객 계정 가운데 3000개 계정의 정보만 실제로 저장했다가 모두 삭제했고, 외부 전송 등 추가 유출은 없었던 것으로 확인됐다고 설명했다.
쿠팡은 이날 보도자료를 통해 "디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다”면서 “유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다"고 말했다.
앞서 쿠팡은 경찰 수사와는 별개로 해외 보안 업체 3곳에 의뢰해 개인정보 유출에 대한 자체 조사를 벌여왔다. 이에 따르면 유출자는 재직 중에 탈취한 내부 보안 키로 3300만 명의 고객 정보에 접근했고, 이 중 약 3000개 계정의 정보를 저장했다. 유출된 고객 정보에는 이름, 이메일, 전화번호, 주소, 주문정보와 공동현관 출입번호 2609개가 포함됐다. 결제정보, 로그인, 개인통관고유번호는 포함되지 않았다.
유출자는 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 개인정보를 탈취해 저장했다고 진술했다. 유출자가 제출한 4개의 하드 드라이브에서는 공격에 사용된 스크립트가 발견됐다. 이후 유출자는 언론 등에 데이터 유출 사건이 보도되자 극도로 불안해져 증거 은폐를 위해 노트북을 물리적으로 파손한 뒤 인근 하천에 버렸다고 진술했다. 이를 바탕으로 해당 지역에서 잠수부들을 동원해 노트북을 회수했다는 게 쿠팡 측 설명이다. 쿠팡 측은 “유출자가 단독으로 저질렀고 고객 정보를 외부로 전송한 적은 없다고 진술했다”며 “현재까지 조사 결과는 유출자의 진술 내용과 부합하며 유출자의 진술과 모순되는 증거가 발견되지 않았다”고 언급했다.
쿠팡은 조사로 확보한 유출자 진술서와 관련 장치를 즉시 정부에 제출했다고 밝혔다. 이에 따라 쿠팡 고객 정보 유출에 대한 경찰 수사도 속도를 낼 것으로 전망된다. 쿠팡은 이와 함께 개인정보 유출에 따른 고객보상 방안도 조만간 발표할 예정이다. 쿠팡 측은 “정부 조사에 적극 협조하고 2차 피해를 예방하는 데 최선을 다하겠다”며 “이번 사태를 계기로 재발 방지를 위한 모든 방안을 강구할 것임을 약속드리며 모든 고객분들에게 다시 한번 진심으로 사과드린다”고 덧붙였다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
jikim@sedaily.com
