쿠팡은 25일 최근 발생한 개인정보 유출 사태와 관련하여 고객 정보를 탈취한 전직 직원을 특정했다고 밝혔다.
디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 범행의 전모를 파악한 쿠팡은 유출에 사용된 모든 장치와 하드디스크 드라이브를 확보했으며, 조사 결과 외부 전송은 없었던 것으로 최종 확인되었다고 발표했다.
쿠팡이 배포한 보도자료에 따르면, 유출자는 범행 일체를 자백하고 고객 정보 접근 방식을 구체적으로 진술했다.
유출자의 진술과 최상위 글로벌 사이버 보안 업체의 조사를 종합한 결과, 그는 탈취한 보안 키를 사용해 약 3천300만 개의 고객 계정에 접근했지만, 이 중 실제로 개인 장치에 저장한 정보는 약 3천여 개 계정의 기본 정보에 불과했다.
저장된 정보에는 이름, 이메일 주소, 전화번호, 배송 주소, 일부 주문 정보 및 2천609개의 공동 현관 출입 번호가 포함됐다.
유출자는 언론 보도 이후 저장했던 정보를 모두 삭제했으며, 고객 정보가 제3자에게 전송된 데이터는 일절 없는 것으로 조사되었다.
유출자는 재직 중 취득한 내부 보안 키를 탈취해 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도했고, 일부 정보를 해당 기기에 저장했다고 진술했다.
쿠팡의 포렌식 조사 결과 이 진술은 사실로 확인되었으며, 유출자가 제출한 데스크톱 PC와 연결된 하드디스크 드라이브 4개에서 공격에 사용된 스크립트가 발견됐다.
쿠팡은 사건 초기부터 엄격한 포렌식 조사를 위해 맨디언트(Mandiant), 팔로알토 네트웍스(Palo Alto Networks), 언스트앤영(EY, Ernst & Young) 등 최상위 글로벌 사이버 보안 전문업체에 의뢰하여 유출자의 진술까지 철저히 검증했다.
유출자는 언론을 통해 개인정보 유출 관련 보도가 나오자 극도의 불안감에 휩싸여, 보도를 접한 직후 저장돼있던 고객 정보를 모두 삭제한 것으로 전해졌다.
또한, 그는 데이터를 유출하는 데 사용된 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 새겨진 에코백에 벽돌을 채워 하천에 던졌다고 진술했다.
쿠팡은 이 진술에 따라 해당 하천을 수색한 결과, 벽돌이 담긴 쿠팡 에코백에서 파손된 맥북 에어 노트북을 극적으로 회수했다.
회수된 노트북의 일련번호는 유출자의 아이클라우드(iCloud) 계정에 등록된 일련번호와 정확히 일치함이 확인되었다.
경찰, '정보유출' 쿠팡 압수수색 강제수사
경찰이 고객 3천370만명의 개인정보가 유출된 쿠팡에 대한 강제 수사에 나섰다. 지난 9일 연합뉴스 취재를 종합하면 서울경찰청 사이버수사과는 이날 오전 총경급 과장 등 17명을 투입해 송파구 쿠팡 본사 사무실을 압수수색 중이다. 사진은 이날 오후 압수수색이 진행 중인 본사 사무실 로비.사진=연합뉴스
쿠팡은 현재까지의 조사 결과가 유출자의 진술 내용과 부합하며, 유출자의 진술과 모순되는 증거는 발견되지 않았다고 강조했다.
회사는 지난 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 자료가 확보되는 즉시 정부에 제출해왔음을 부연했다.
그러나 개인정보 유출자의 진술 확보 등 일련의 과정이 경찰이나 민관합동조사단이 아닌 쿠팡에 의해 직접 수행된 구체적인 이유는 명확히 밝혀지지 않았다.
쿠팡은 조사 주체에 대한 질문에 "현재로서는 제공된 정보 외에는 확인할 수 없다"고 답변했다.
쿠팡은 이날 "최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감한다"고 밝혔다.
이어 "쿠팡 개인정보 유출 사태로 인해 수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다"고 전했다.
쿠팡은 향후 진행될 조사 경과에 따라 지속적으로 안내할 예정이며, 이번 사태에 대한 고객 보상 방안은 조만간 별도로 발표할 방침이다.