쿠팡 "유출자, 고객정보 3000개만 저장…외부전송 없어"

"고객 정보 유출 전직 직원 특정…모든 장치 회수"

"3300만개 계정 접근했으나 3000개 계정 정보만 저장"

"제3자 전송 데이터 없어... 고객보상안 조만간 발표"

[사진=연합뉴스]

쿠팡이 최근 개인정보 유출 사태와 관련해 고객 정보를 유출한 전 직원을 특정해 모든 장치를 회수했다고 25일 밝혔다.
 
쿠팡은 이날 보도자료를 통해 “디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”며 이같이 밝혔다. 
 
유출자 진술과 사이버 보안 업체 조사를 종합하면 유출자는 탈취한 보안 키를 사용해 3300만개 고객 계정 기본 정보에 접근했지만 이 가운데 약 3000개 계정 고객 정보만 저장했다. 여기에는 이름, 이메일, 전화번호, 주소, 일부 주문정보, 공동현관 출입 번호 2609개가 포함됐으나 결제정보, 로그인 관련 정보, 개인 통관번호에 대한 접근은 없었다. 
 
쿠팡은 “유출자가 쿠팡 고객 정보를 접근·탈취하는 데 사용된 모든 장치와 하드 드라이브는 검증된 절차에 따라 모두 회수돼 안전하게 확보됐다”고 설명했다. 

 
유출자는 사태에 대한 언론 보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제3자에게 전송된 데이터는 일절 없는 것으로 조사됐다. 유출자는 개인용 데스크톱 PC와 맥북에어 노트북을 사용해 공격을 시도했고 접근한 정보 중 일부를 해당 기기에 저장했다고 진술했다.
 
독립적인 포렌식 조사 결과 쿠팡 시스템에 대한 불법접근은 유출자가 진술한 대로 PC 시스템 1대와 애플 시스템 1대를 통해 수행된 것으로 확인됐다. 유출자는 해당 데스크톱 PC와 PC에서 사용된 하드 드라이브 4개를 제출했다. 분석 결과 이들 저장장치에서 공격에 사용된 스크립트가 발견됐다.
 
유출자는 언론을 통해 데이터 유출 보도가 나오자 맥북에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣어 벽돌을 채워 인근 하천에 던졌다고 했다.
 
유출자가 제공한 지도와 설명을 바탕으로 잠수부들이 해당 하천에서 맥북에어 노트북을 회수했으며 회수된 기기는 유출자 진술 그대로 벽돌이 담긴 쿠팡 에코백 안에 들어 있었다. 일련번호 역시 유출자의 아이클라우드 계정에 등록된 일련번호와 정확히 일치했다.
 
쿠팡은 “지난 17일 유출자 진술서 제출을 시작으로 관련 장치 등 모든 자료를 확보하는 즉시 정부에 제출해 왔다”며 “쿠팡은 현재 진행 중인 정부기관의 관련 조사에도 성실히 협조해 왔다”고 밝혔다.
 
이어 “사건 초기부터 엄격한 포렌식 조사를 진행하기 위해 전 세계 최상위 3개 글로벌 사이버 보안 업체인 맨디언트, 팰로앨토 네트웍스, 언스트앤영에 조사를 의뢰했다”고 덧붙였다.
 
그러면서 쿠팡은 “향후 진행될 조사 경과에 따라 지속적으로 안내할 예정”이라며 “이번 사태로 인한 고객 보상 방안을 조만간 별도로 발표할 것”이라고 했다.
 
쿠팡은 “앞으로도 고객들의 소중한 개인정보를 보호하기 위해 최선을 다할 것”이라며 “정부 조사에 적극 협조할 것이며, 2차 피해를 예방하는 데 최선을 다하겠다”고 말했다.