쿠팡 개인정보 유출 사태로 고객 불안이 커지는 가운데, 회사가 유출 경위와 피해 범위에 대한 포렌식 조사 결과와 후속 조치 계획을 내놨다. 쿠팡은 전직 직원을 고객 정보 유출자로 특정하고 유출에 사용된 장치를 모두 회수했으며, 약 3000개 계정의 제한된 고객 정보만 저장됐다가 삭제됐고 외부 전송 정황은 확인되지 않았다고 26일 밝혔다.
쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 이름·이메일·주소·전화번호 등 기본적인 고객 정보에 접근했다. 디지털 지문(digital fingerprints) 등 포렌식 증거와 로그 분석 결과, 해당 접근은 탈취된 내부 보안 키를 통해 이뤄졌으며 결제정보, 로그인 관련 정보, 개인통관고유번호 등에 대한 접근은 없었던 것으로 확인됐다. 쿠팡은 “유출자가 3300만 고객 계정의 기본 정보에 접근했지만 실제로 저장한 정보는 약 3000개 계정에 한정된다”고 설명했다.
현재까지 맨디언트, 팔로알토네트웍스, 언스트앤영 등 글로벌 사이버보안 업체들이 수행한 포렌식 조사 결과도 이 같은 진술과 부합한다고 쿠팡은 전했다. 조사에 따르면 유출자는 약 3000개 계정의 이름, 이메일, 전화번호, 주소, 일부 주문정보를 개인 장치에 저장했으며, 이 가운데 공동현관 출입번호는 2609개가 포함돼 있었다. 쿠팡은 “저장된 고객 정보는 언론 보도를 접한 뒤 모두 삭제됐고, 제3자에게 전송된 데이터는 없는 것으로 확인됐다”고 밝혔다.
유출에 사용된 장비는 개인용 데스크톱 PC 1대와 MacBook Air 노트북 1대 등이다. 유출자는 데스크톱 PC와 PC에 연결된 하드 드라이브 4개를 제출했으며, 포렌식 분석 과정에서 쿠팡 시스템에 대한 불법 접근에 사용된 스크립트가 이들 저장장치에서 발견됐다. 유출자는 언론 보도 이후 증거를 은폐·파기하려고 MacBook Air 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌과 함께 넣어 인근 하천에 투기했다고 진술했다. 쿠팡과 수사당국은 유출자가 제공한 지도와 진술을 토대로 잠수 작업을 진행해 하천에서 해당 에코백과 노트북을 회수했으며, 회수된 기기의 일련번호는 유출자의 iCloud 계정에 등록된 노트북 일련번호와 일치하는 것으로 확인됐다.
쿠팡은 이번 사건이 유출자 단독 범행이며, 저장된 고객 정보는 개인 데스크톱 PC와 MacBook Air 노트북에만 보관됐고 외부로 전송된 정황은 포렌식 조사에서 발견되지 않았다고 거듭 강조했다. 회사는 사건 초기부터 글로벌 상위 보안업체 3곳에 조사를 의뢰하고, 유출자 진술서와 회수 장비 등을 관련 정부기관에 순차적으로 제출해 왔다며 현재 진행 중인 정부 조사에도 계속 협조하고 있다고 밝혔다.
쿠팡은 “최근 발생한 개인정보 유출이 고객들에게 큰 우려를 불러일으켰다는 점에서 책임을 무겁게 느낀다”며 “쿠팡 개인정보 유출 사태로 걱정과 불편을 겪은 모든 고객분들께 진심으로 사과드린다”고 말했다. 이어 “향후 조사 경과에 따라 추가 내용을 투명하게 알리고, 고객 보상 방안을 조만간 별도로 발표하겠다”며 “2차 피해를 막고 재발을 방지하기 위해 필요한 모든 조치를 강구하겠다”고 덧붙였다.
[최성민 마니아타임즈 기자 /maniareport@naver.com]
<저작권자 © 마니아타임즈, 무단 전재 및 재배포 금지>
