쿠팡이 3370만 명의 고객 개인정보를 유출한 전직 직원을 특정하고 범행에 사용된 모든 장치를 회수했다.

쿠팡은 25일 "디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다"며 "유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다"고 밝혔다.

쿠팡은 25일 "디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다"며 "유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다"고 밝혔다. 유출자가 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드 드라이브는 검증된 절차에 따라 모두 회수돼 안전하게 확보됐다.

쿠팡은 사건 초기부터 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 글로벌 3대 사이버 보안 업체에 엄격한 포렌식 조사를 의뢰했다. 현재까지 조사 결과는 유출자의 진술 내용과 부합하는 것으로 나타났다.

조사 결과에 따르면 유출자는 탈취한 보안 키를 사용해 3300만 고객 계정의 기본적인 고객 정보에 접근했지만, 실제로는 약 3000개 계정의 고객 정보만 저장한 것으로 확인됐다. 저장된 정보는 이름, 이메일, 전화번호, 주소, 일부 주문정보 등이며, 공동현관 출입번호 2609개가 포함됐다. 다만 결제정보, 로그인 관련 정보, 개인통관고유번호에 대한 접근은 없었던 것으로 파악됐다.

유출자는 재직 중 취득한 내부 보안 키를 탈취해 고객 개인정보에 접근했다고 진술했다. 데이터 로그 및 포렌식 조사 결과, 접근된 데이터의 유형은 유출자가 진술한 범위에 한정됐음이 확인됐다. 독립적인 외부 전문업체의 포렌식 분석에서도 2609개의 공동현관 출입번호가 접근된 것으로 나타나 유출자의 진술과 일치했다.

유출자는 개인용 데스크톱 PC 1대와 맥북 에어 노트북 1대를 사용해 공격을 시도했다. 독립적인 포렌식 조사 결과 쿠팡 시스템에 대한 불법 접근은 유출자가 진술한 대로 PC 시스템 1대와 애플 시스템 1대를 통해 수행된 것으로 확인됐다. 유출자는 데스크톱 PC와 PC에서 사용된 하드 드라이브 4개를 제출했으며, 분석 결과 이들 저장장치에서 공격에 사용된 스크립트가 발견됐다.

특히 유출자는 언론을 통해 데이터 유출 보도가 나오자 증거 은폐를 시도한 것으로 드러났다. 유출자는 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 투기했다고 진술했다. 

유출자가 제공한 지도와 설명을 바탕으로 잠수부들이 해당 하천에서 맥북 에어 노트북을 회수했으며, 회수된 기기는 벽돌이 담긴 쿠팡 에코백 안에 들어 있었고 일련번호도 유출자의 아이클라우드 계정에 등록된 일련번호와 정확히 일치했다.

현재까지 조사 결과 유출자는 단독으로 범행을 저질렀으며, 약 3000개 계정의 제한적인 고객 정보만 저장했고 해당 정보는 개인 데스크톱 PC와 맥북 에어 노트북에만 저장됐다. 외부로 전송된 적은 없으며, 언론 보도를 접한 직후 저장돼 있던 고객 정보를 모두 삭제했다는 유출자의 진술과 모순되는 증거는 발견되지 않았다.

쿠팡은 지난 12월 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 일체 자료를 확보하는 즉시 정부에 제출해 왔으며, 현재 진행 중인 정부기관의 관련 조사에도 성실히 협조하고 있다.

쿠팡은 "최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감한다"며 "개인정보 유출 사태로 인해 수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다"고 밝혔다.

회사 측은 "향후 진행될 조사 경과에 따라 지속적으로 안내를 드릴 예정"이라며 "이번 사태로 인한 고객보상 방안을 조만간 별도로 발표할 예정"이라고 덧붙였다. 

아울러 "앞으로도 고객들의 소중한 개인정보를 보호하기 위해 최선을 다하겠으며, 정부 조사에 적극 협조하고 2차 피해 예방과 재발 방지를 위한 모든 방안을 강구하겠다"고 약속했다.