쿠팡이 3370만 고객 정보를 유출한 전 직원을 붙잡아 범행 일체를 자백받았다고 25일 밝혔다.

유출자는 재직 중에 취득한 보안 키를 탈취한 뒤, 개인용 데스크톱 PC와 맥북에어(MacBook Air) 노트북을 사용해 3300만 고객 계정에 접근해 3000명의 정보를 저장했다 쿠팡 사태가 확산되면서 해당 정보를 삭제하고, 관련 장치들을 하천에 버렸다고 진술한 것으로 전해졌다. 쿠팡은 하천을 수색해 정보 유출에 사용된 모든 장치를 회수하고, 해당 정보의 외부 전송이 없다는 점을 확인했다고 밝혔다.

쿠팡에 따르면 유출자는 재직 중에 취득한 내부 보안키를 탈취해 3300만 고객 계정정보(이름, 이메일, 주소, 전화번호)에 접근해 이 중 3000개의 계정에 대한 주문정보와 공동현관 출입번호를 알아냈다고 진술했다.

쿠팡은 이 과정에서 3개 글로벌 사이버 보안 업체(맨디언트와 팔로알토 네트웍스, 언스트앤영)에 조사를 의뢰해 해당 계정의 결제정보와 로그인 관련 정보, 개인통관번호에 대한 접근은 없다는 점을 확인했다. 또 2609개의 공동현관 출입번호가 유출된 것으로 조사됐다.

유출자는 해당 정보를 개인용 데스크톱 PC와 맥북에어 노트북에 저장했고, 고객정보 유출 사건이 보도된 뒤, "노트북을 물리적으로 파손하고 쿠팡 로고가 있는 에코백에 벽돌과 함께 넣어 인근 하천에 던졌다"고 진술했다.

쿠팡은 유출자가 제공한 지도와 설명을 바탕으로 잠수부들이 해당 하천에서 맥북에어 노트북을 찾아 회수했으며, 노트북의 일련번호가 유출자의 iCloud 계정에 등록된 일련번호와 정확히 일치했다는 점을 확인했다고 설명했다.

또 포렌식 조사 결과 쿠팡 시스템에 대한 불법접근은 유출자가 진술한 대로 1대의 PC 시스템과 1대의 애플 시스템을 통해 수행됐다는 점도 확인했다. 쿠팡은 "유출자는 해당 데스크톱 PC와 PC에서 사용된 4개의 하드 드라이브를 제출했으며, 분석 결과 이들 저장장치에서 공격에 사용된 스크립트가 발견됐다"고 전했다.

유출자는 "단독 범행"이라고 주장한 것으로 알려졌다. 또 쿠팡 사태 이후 3000개 계정의 고객 정보는 삭제했으며, 외부 전송은 없다고 진술한 것으로 전해진다. 쿠팡은 "현재까지 조사 결과는 유출자의 진술 내용과 부합하며, 유출자의 진술과 모순되는 증거가 발견되지 않았다"고 했다.

쿠팡은 "고객 정보 중 제3자에게 전송된 데이터는 일체 없다"며 "유출자가 쿠팡 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드 드라이브는 검증된 절차에 따라 모두 회수돼 안전하게 확보됐다"고 강조했다.

이어 "최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감한다"며 "쿠팡 개인정보 유출 사태로 인해 수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다"고 했다.





이민지 기자 ming@asiae.co.kr



