쿠팡은 지난 25일 고객 3370만명의 개인정보에 접근한 전직 직원을 특정하고 범행에 사용된 노트북과 하드디스크 등 모든 장치를 회수했으며, 조사 결과 약 3000개 계정의 제한된 정보만 저장됐다가 이후 삭제됐고 외부 전송은 없었다고 밝혔다.

쿠팡은 지난 25일 고객 3370만명의 개인정보에 접근한 전직 직원을 특정하고 범행에 사용된 노트북과 하드디스크 등 모든 장치를 회수했으며, 조사 결과 약 3000개 계정의 제한된 정보만 저장됐다가 이후 삭제됐고 외부 전송은 없었다고 밝혔다.

쿠팡은 이날 발표자료를 통해 디지털 지문 등 포렌식 증거를 활용해 유출자를 특정했고, 유출자가 행위 전반을 자백했다고 밝혔다. 회사는 12월 17일 유출자의 진술서 제출을 시작으로 관련 장치와 자료를 확보해 정부에 제출해 왔으며, 현재 진행 중인 정부기관 조사에도 성실히 협조하고 있다고 설명했다.

조사에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 3300만 고객 계정의 기본 정보에 접근했지만, 실제로 저장한 것은 약 3000개 계정의 이름·이메일·전화번호·주소·일부 주문정보에 한정됐다. 저장 정보에는 공동현관 출입번호 2609건이 포함됐으나 결제정보, 로그인 관련 정보, 개인통관고유번호에 대한 접근은 없었다는 게 쿠팡의 설명이다.

쿠팡은 외부 전문업체의 독립적인 포렌식 분석을 통해 유출자의 진술과 접근 범위가 일치한다고 밝혔다. 또 제3자에게 전송된 데이터는 없었고, 언론 보도 이후 유출자가 저장 정보를 모두 삭제했다고 덧붙였다. 회사는 “현재까지 조사 결과는 유출자의 진술 내용과 부합하며, 모순되는 증거는 발견되지 않았다”고 했다.

범행 수법과 관련해 유출자는 개인용 데스크톱 PC와 MacBook Air 노트북을 사용했다고 진술했다. 분석 결과 불법 접근은 1대의 PC와 1대의 애플 시스템을 통해 이뤄졌고, PC에서 사용된 4개의 하드 드라이브에서는 공격에 사용된 스크립트가 확인됐다. 유출자는 증거 은폐를 위해 MacBook Air를 물리적으로 파손한 뒤 하천에 투기했으나, 잠수부 수색으로 회수됐으며 일련번호는 유출자의 iCloud 계정과 일치했다.

쿠팡은 사건 초기부터 글로벌 사이버 보안 업체 맨디언트, 팔로알토 네트웍스, 언스트앤영에 포렌식 조사를 의뢰해 검증을 진행했다고 밝혔다. 회사는 이번 사태와 관련해 ‘최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감합니다. 쿠팡 개인정보 유출 사태로 인해 수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드립니다.’라고 밝혔다.

쿠팡은 향후 조사 경과에 따라 추가 안내를 이어가고, 고객 보상 방안은 조만간 별도로 발표할 예정이다. 회사는 정부 조사에 적극 협조하며 재발 방지를 위한 모든 방안을 강구하겠다고 덧붙였다.