쿠팡이 대규모 정보유출 사태와 관련해 길었던 침묵을 깨고 자체 조사 결과를 발표했다. 이번 사태에 대한 책임을 통감하며 조만간 보상안을 발표하겠다는 입장을 내놨다.
쿠팡은 포렌식 증거를 활용해 고객 개인정보를 유출한 전직 직원을 특정해 자백을 받았으며, 정보 유출에 사용된 모든 장치는 검증된 절차에 따라 모두 회수했다고 25일 밝혔다.
쿠팡은 이날 보도자료를 내고 “유출자의 진술과 외부 보안업체에 의뢰한 포렌식 조사 결과가 부합한다”며 이같이 밝혔다.
쿠팡은 “지난 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 자료를 확보하는 즉시 정부에 제출해 왔으며, 현재 진행 중인 정부기관의 관련 조사에도 성실히 협조해 왔다”고 전했다.
이와 별도로 쿠팡은 엄격한 포렌식 조사를 진행하기 위해 전세계 최상위 3개 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰했다.
쿠팡이 현재까지 조사한 바에 따르면 유출자는 재직 중에 취득한 내부 보안키를 탈취해 3300만개 계정의 고객 정보에 접근했고, 이 중 약 3000개 계정의 정보만 저장한 것으로 나타났다.
유출자는 이름, 이메일, 주소, 전화번호 등에 접근했다고 진술했으며, 데이터 로그 및 포렌식 조사에서도 접근된 데이터의 유형이 유출자가 진술한 범위에 한정됐음을 확인했다. 또 3000개 계정에 대한 주문정보와 공동현관 출입번호에 접근했다는 유출자의 진술도 조사 결과와 부합했다. 독립적인 외부 전문업체의 포렌식 분석 결과, 2609개의 공동현관 출입번호가 접근된 것으로 확인됐다.
다만 2차 피해 우려를 산 결제정보, 로그인 관련 정보, 개인통관번호에 대한 접근은 없었다고 쿠팡 측은 강조했다.
유출자가 개인용 데스크톱 PC와 맥북에어 노트북을 사용해 공격을 시도했고 접근한 정보 중 일부를 해당 기기에 저장했다고 진술한 부분도 포렌식 조사 결과와 일치했다. 이와 관련해 유출자는 해당 데스크톱 PC와 PC에서 사용된 4개의 하드 드라이브를 제출했으며, 분석 결과 이들 저장장치에서 공격에 사용된 스크립트가 발견됐다.
또한 쿠팡에 따르면 유출자는 언론을 통해 데이터 유출 보도가 나오자 극도의 불안 상태에 빠져 맥북에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던졌다고 진술했다.
이에 쿠팡은 유출자가 제공한 지도와 설명을 바탕으로 잠수부들을 투입해 해당 하천에서 벽돌이 담긴 쿠팡 에코백 안에 들어있는 노트북을 회수했다. 일련번호 또한 유출자의 아이클라우드 계정에 등록된 일련번호와 정확히 일치했다고 쿠팡은 전했다.
유출자는 단독으로 범행을 저질렀고, 저장된 3000개 계정의 정보가 개인 데스크톱 PC와 노트북에만 저장됐으며 외부로 전송된 적은 없다고 주장했다. 언론 보도를 접한 직후 저장돼 있던 정보도 모두 삭제했다고 진술했다.
쿠팡은 이에 대해 “현재까지 조사 결과는 유출자의 진술 내용과 부합하며, 유출자의 진술과 모순되는 증거가 발견되지 않았다”고 전했다.
다만 “최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감한다”며 “쿠팡 개인정보 유출 사태로 인해 수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다”며 고개를 숙였다.
쿠팡은 “향후 진행될 조사 경과에 따라 지속적으로 안내하고, 이번 사태로 인한 고객보상 방안을 조만간 별도로 발표할 예정”이라며 “앞으로도 정부 조사에 적극 협조하고, 2차 피해를 예방하는 데 최선을 다하겠다. 이번 사태를 계기로 재발 방지를 위한 모든 방안을 강구할 것임을 약속드린다”고 밝혔다.
이화연 기자 hylee@segye.com
