전직 직원 소행 밝혀내고 포렌식으로 '외부 전송 없음' 검증 완료
쿠팡 측 "하천에 버린 노트북까지 찾아내… 2차 피해 방지 최선"
쿠팡이 최근 발생한 개인정보 유출 사태와 관련해 유출 당사자를 특정하고 범행에 사용된 모든 장치를 회수하는 등 사태 수습에 속도를 내고 있다. 조사 결과 실제 저장된 정보는 극히 일부이며 이마저도 삭제된 것으로 확인돼, 우려됐던 대규모 2차 피해 가능성은 낮은 것으로 나타났다.
25일 쿠팡은 입장문을 통해 "디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 정보를 유출한 전직 직원을 특정했으며, 유출자가 범행을 자백했다"고 밝혔다. 쿠팡은 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 글로벌 최상위 사이버 보안 업체 3곳에 조사를 의뢰해 이 같은 사실을 검증했다.
발표에 따르면 이번 사건은 전직 직원이 재직 중 취득한 내부 보안 키를 이용해 벌인 단독 범행으로 드러났다. 유출자는 3,300만 건의 기본 고객 정보에 접근했으나, 실제 자신의 기기에 저장한 것은 약 3,000개 계정의 정보에 불과했다. 이마저도 언론 보도 직후 모두 삭제했으며, 제3자에게 전송된 내역은 없는 것으로 확인됐다.
특히 우려를 낳았던 민감 정보 유출도 없었다. 쿠팡 측은 "유출자가 저장했던 정보는 이름, 이메일, 전화번호, 주소 등이며 결제정보나 로그인 정보, 개인통관고유번호 등은 포함되지 않았다"고 설명했다. 공동현관 출입번호의 경우 2,609개가 포함되었으나 이 역시 외부 유출 없이 삭제된 것으로 파악됐다.
쿠팡의 집요한 추적과 증거 확보 노력도 주목된다. 유출자는 증거 인멸을 위해 범행에 쓴 '맥북 에어' 노트북을 파손해 벽돌과 함께 에코백에 담아 하천에 투기했다고 진술했다. 이에 쿠팡은 잠수부까지 동원해 해당 하천에서 노트북을 회수했으며, 일련번호 대조를 통해 유출자의 기기임을 최종 확인했다. 데스크톱 PC와 하드디스크 등도 모두 확보되어 현재 정부 기관에 제출된 상태다.
쿠팡 관계자는 "사건 초기부터 정부 기관 조사에 성실히 임해왔으며, 유출된 정보가 외부로 넘어가지 않고 기기가 전량 회수됨에 따라 추가적인 위험은 차단된 상태"라고 전했다.
쿠팡은 이번 사태로 놀랐을 고객들에게 거듭 사과의 뜻을 밝혔다. 쿠팡 측은 "개인정보 유출로 심려와 불편을 끼쳐드린 점 진심으로 사과드린다"며 "조만간 고객 보상 방안을 별도로 발표하고, 재발 방지를 위한 시스템 강화에 만전을 기하겠다"고 약속했다
