쿠팡이 최근 발생한 개인정보 유출 사태와 관련해 전직 직원의 단독 범행으로 확인됐으며, 고객 정보가 외부로 유출되거나 제3자에게 전달된 정황은 없다고 밝혔다.

25일 뉴시스에 따르면 쿠팡은 디지털 지문 등 포렌식 증거를 토대로 고객 정보를 유출한 전직 직원을 특정했다.

해당 유출자는 범행을 자백했으며, 고객 정보에 접근한 방식과 저장·삭제 과정 등을 구체적으로 진술했다.

유출자는 재직 중에 취득한 내부 보안 키를 탈취해 이름, 이메일, 주소, 전화번호 등 일부 고객 개인정보에 접근했다고 진술했다.

유출자가 사용한 모든 장치와 하드 드라이브는 검증된 절차에 따라 회수돼 확보됐으며, 쿠팡은 지난 17일부터 관련 진술서와 장치 자료 일체를 정부 기관에 제출해 왔다. 현재 진행 중인 조사에도 성실히 협조하고 있다는 설명이다.

사건 초기부터 쿠팡은 포렌식 조사를 위해 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 세계 상위 수준의 외부 전문기관에 조사를 의뢰했다고 뉴시스는 전했다.

쿠팡 측 설명에 따르면 유출자는 탈취한 내부 보안 키를 이용해 약 3300만 고객 계정의 기본 정보에 접근했으나, 실제로 저장한 고객 정보는 약 3000개 계정에 불과했다.

저장된 정보는 이름, 이메일, 전화번호, 주소, 일부 주문 정보였다. 이 중 공동현관 출입번호는 2609개로 확인됐다.

결제 정보, 로그인 정보, 개인통관고유부호 등 민감 정보에는 접근한 사실이 없었으며 고객 정보가 제3자에게 전송된 정황도 발견되지 않았다고 쿠팡은 강조했다.

유출자는 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 불법 접근을 시도했다.

포렌식 조사 결과 쿠팡 시스템에 대한 접근은 이 두 기기를 통해 이뤄진 것으로 확인됐다.

또 유출자는 증거 은폐를 위해 맥북 에어 노트북을 물리적으로 파손한 뒤 벽돌을 담은 쿠팡 에코백에 넣어 인근 하천에 투기했다고 진술했다.

쿠팡과 수사 당국은 유출자의 진술을 토대로 해당 노트북을 회수했으며 기기 일련번호 역시 유출자의 아이클라우드(iCloud) 계정에 등록된 정보와 일치한 것으로 확인됐다.

유출자는 언론 보도를 접한 이후 저장돼 있던 정보를 모두 삭제했다고 진술했다.

현재까지의 조사 결과는 유출자의 진술과 부합하는 것으로 나타났다.

쿠팡은 이번 사태와 관련한 추가 조사 경과를 지속적으로 안내하고, 고객 보상 방안도 별도로 발표할 계획이다.

쿠팡 관계자는 "고객의 소중한 개인정보 보호를 최우선 가치로 삼고 있다"며 "정부 조사에 적극 협조하는 한편 재발 방지를 위한 모든 대책을 강구해 2차 피해 예방에 최선을 다하겠다"고 밝혔다.
 

송원근 기자