사진: 안윤수기자 ays77@

[대한경제=문수아 기자] 쿠팡이 개인정보 유출 사태와 관련해 실제 저장된 정보는 약 3000건에 그쳤으며 외부 전송도 없었다고 밝혔다. 전직 직원이 탈취한 보안 키로 대규모 고객 정보에 접근했지만, 소량만 저장한 뒤 언론 보도 직후 전량 삭제했다는 게 회사 측 설명이다.

쿠팡은 25일 이러한 내용을 포함한 조사 내용 일부를 공개했다.

쿠팡은 디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다. 유출자는 재직 중 취득한 내부 보안 키를 탈취해 3300만 고객 계정의 기본 정보에 접근했으나, 이 중 약 3000개 계정의 정보만 실제 저장했다. 저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문정보와 공동현관 출입번호 2609개가 포함됐다. 다만 결제정보, 로그인 관련 정보, 개인통관고유번호는 포함되지 않았다.

쿠팡은 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 글로벌 사이버 보안 업체 3곳에 포렌식 조사를 의뢰했다. 조사 결과 유출자는 개인용 데스크톱 PC 1대와 맥북에어 노트북 1대를 사용해 공격을 수행한 것으로 확인됐다. 유출자가 사용한 모든 장치와 하드 드라이브는 회수돼 안전하게 확보된 상태다.

쿠팡에 따르면 유출자는 언론을 통해 데이터 유출 보도가 나오자 증거 은폐를 시도했다고 진술했다. 맥북에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌을 채워 인근 하천에 투기했으며, 잠수부들이 유출자가 제공한 지도와 설명을 바탕으로 해당 노트북을 회수했다. 회수된 기기의 일련번호는 유출자의 아이클라우드 계정에 등록된 일련번호와 정확히 일치했다.

현재까지 조사 결과 유출자가 단독으로 범행을 저질렀으며, 저장된 고객 정보는 개인 기기에만 보관됐고 제3자에게 전송된 데이터는 없는 것으로 파악됐다. 유출자는 언론 보도 직후 저장했던 정보를 모두 삭제했다고 진술했으며, 포렌식 조사 결과도 이를 뒷받침하고 있다.

쿠팡은 지난 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 일체 자료를 확보하는 즉시 정부에 제출해왔다.

쿠팡은 “정부 조사에 적극 협조할 것이며, 2차 피해 예방에 최선을 다하는 동시에 고객보상 방안을 조만간 별도로 발표할 예정”이라며 “재발 방지를 위한 모든 방안을 강구하겠다”고 밝혔다.

문수아 기자 moon@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉