[서울타임즈뉴스 = 서연옥 기자] 쿠팡이 최근 불거진 개인정보 유출 논란과 관련해 고객 정보를 탈취한 전직 직원을 특정하고, 정보 접근과 저장에 사용된 모든 장치를 회수했다고 25일 밝혔다. 쿠팡은 자체 포렌식 조사 결과, 고객 개인정보가 외부로 전송되거나 제3자에게 추가로 유출된 정황은 발견되지 않았다고 강조했다.

쿠팡에 따르면 디지털 지문 등 포렌식 증거를 활용해 유출자를 특정했다. 해당 전직 직원은 범행 사실을 모두 자백하고 고객 정보에 접근한 방식과 경위를 구체적으로 진술했다. 조사 결과 유출자는 재직중 탈취한 내부 보안 키를 사용해 약 3300만개 고객 계정의 기본 정보에 접근한 것으로 파악됐다. 다만 이중 실제로 저장한 정보는 약 3000개 계정에 한정된 것으로 조사됐다.

저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문 정보와 함께 2609개의 공동현관 출입번호가 포함됐다. 쿠팡은 결제 정보, 로그인 정보, 개인통관고유번호 등 민감 정보는 접근·저장 대상에 포함되지 않았다고 설명했다. 또 유출자는 관련 보도가 나온 직후 저장됐던 모든 고객 정보를 삭제했고, 외부로 전송된 데이터는 없었던 것으로 확인됐다고 밝혔다.

유출자는 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도한 뒤 일부 정보를 저장했다고 진술했다. 포렌식 조사 결과, 해당 PC와 함께 사용된 하드디스크 드라이브 4개에서 공격에 사용된 스크립트가 발견돼 진술의 신빙성도 확인됐다. 쿠팡은 정보 탈취에 사용된 모든 장치와 저장 매체를 검증된 절차에 따라 회수·확보했다고 설명했다.

특히 유출자는 사건이 언론에 보도되자 증거 인멸을 시도하며 맥북 에어 노트북을 물리적으로 파손한 뒤, 쿠팡 로고가 있는 에코백에 벽돌을 넣어 하천에 투기했다고 진술했다. 쿠팡은 유출자의 설명을 토대로 하천을 수색해 해당 노트북을 회수했다. 쿠팡은 또 일련번호가 유출자의 아이클라우드 계정에 등록된 정보와 일치하는 것도 확인했다.

쿠팡은 사건 초기부터 엄격한 조사를 위해 글로벌 최상위 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰해 포렌식 검증을 진행해 왔다고 전했다. 현재까지의 조사 결과는 유출자의 진술과 모두 부합하며, 추가 유출이나 공범 정황은 발견되지 않았다는 게 쿠팡의 설명이다.

쿠팡 측은 “이번 개인정보 유출로 고객들에게 큰 불안을 끼친 점에 대해 책임을 통감한다”며 공식 사과했다. 아울러 “정부 조사에 성실히 협조하는 한편 향후 조사 경과에 따라 추가 안내를 진행할 것”이라며 “이번 사태와 관련한 고객 보상 방안도 조만간 별도로 발표할 예정”이라고 밝혔다.