쿠팡은 최근 불거진 대규모 개인정보 유출 사태와 관련, 포렌식 증거를 통해 고객 정보를 유출한 전직 직원을 특정하고 범행에 사용된 모든 장치를 확보했다고 25일 밝혔다.
쿠팡 측은 해당 직원의 자백을 받아 정보의 외부 전송은 없었으며, 저장된 개인정보 규모도 제한적이었다고 설명했다.
그러나 정부는 이에 대해 "민관합동조사단에 의해 확인되지 않은 일방적인 주장"이라며 쿠팡의 발표를 반박해 논란이 가중되고 있다.
◆ 쿠팡, 포렌식 증거로 유출자 특정 및 자백 확보
쿠팡은 이날 보도자료를 통해 디지털 지문 등 포렌식 증거를 활용, 고객 정보를 유출한 전직 직원을 특정했으며, 유출자는 행위 일체를 자백하고 고객 정보 접근 방식을 구체적으로 진술했다고 밝혔다.
유출자의 진술과 사이버 보안 업체의 종합 조사 결과에 따르면, 탈취한 보안 키를 사용해 고객 계정 3천300만 개의 기본적인 정보에 접근했지만, 이 중 약 3천 개의 계정 정보만 개인용 장치에 저장한 것으로 드러났다.
저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문 정보, 그리고 2천609개의 공동현관 출입 번호가 포함되어 있었다.
쿠팡 측은 유출자가 언론 보도 이후 저장했던 정보를 모두 삭제했으며, 고객 정보 중 제3자에게 전송된 데이터는 일절 없는 것으로 조사됐다고 강조했다.
유출자는 재직 중 취득한 내부 보안 키를 이용해 개인용 데스크톱 PC와 맥북 에어 노트북으로 공격을 시도한 뒤, 정보 일부를 해당 기기에 저장했다고 진술한 것으로 전해졌다.
쿠팡은 이 진술이 최상위 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영의 포렌식 조사를 통해 사실로 확인되었고, 유출자가 제출한 데스크톱 PC와 하드디스크 드라이브 4개를 분석한 결과 공격에 사용된 스크립트가 발견되었다고 덧붙였다.
특히 유출자가 맥북 에어 노트북을 물리적으로 파손한 뒤 하천에 투척했다는 진술에 따라 잠수부를 동원해 이를 회수, 일련번호까지 확인했다고 밝혔다.
쿠팡사태 해결 위해 힘 모은 정부부처들
지난 23일 정부서울청사에서 열린 쿠팡사태 범부처 태스크포스(TF) 킥오프 회의에서 류제명 과학기술정보통신부 2차관이 발언을 하고 있다.사진=연합뉴스
◆ 정부 "일방적인 주장" 반박, 향후 조사 향방 주목
쿠팡의 이 같은 발표에 대해 정부는 즉각 반박 입장을 내놨다. 정부 관계자는 쿠팡이 주장하는 내용은 "민관합동조사단에 의해 아직 확인되지 않았으며, 일방적인 주장"이라고 선을 그었다.
이는 쿠팡이 자체적인 검증을 통해 유출자의 진술이 사실이라고 판단하는 반면, 정부는 아직 공식적인 검증 절차를 완료하지 않았다는 의미로 풀이된다.
쿠팡은 사건 초기부터 유출자의 진술서 제출과 관련 장치 등 자료가 확보되는 즉시 정부에 제출해 왔다고 설명했다.
정부와 쿠팡 간의 시각차는 향후 개인정보 유출 사태 조사 향방에 중대한 영향을 미칠 것으로 예상된다.
쿠팡의 발표가 민관합동조사단의 최종 결론과 일치할지, 혹은 추가적인 사실 관계 규명이 이루어질지 여부에 따라 사태의 본질이 달라질 수 있기 때문이다.
◆ 쿠팡, 책임 통감 및 고객 보상 예고
쿠팡은 이번 개인정보 유출 사태로 인해 고객들이 겪었을 우려와 불편에 대해 책임을 통감하고 진심으로 사과한다는 입장을 밝혔다.
쿠팡 관계자는 "향후 진행될 조사 경과에 따라 지속적으로 안내할 예정"이라며, "이번 사태로 인한 고객 보상 방안을 조만간 별도로 발표할 것"이라고 덧붙였다.
쿠팡의 보상안이 어떤 내용으로 발표될지, 그리고 정부의 최종 조사 결과가 쿠팡 발표와 어떻게 조화를 이룰지 귀추가 주목된다.