최근 대규모 개인정보 유출 사태가 발생한 쿠팡이 문제의 고객 정보를 유출한 전직 직원을 특정해 범행 일체를 자백 받았으며 제3자에게 전송된 고객 정보는 전혀 없다고 밝혔다.
쿠팡은 25일 배포한 보도자료를 통해 "디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다"고 설명했다.
유출자의 진술 등을 종합하면 유출자는 고객 계정 3300만개의 기본적인 고객 정보에 접근해 이 가운데 약 3천개 계정의 고객 정보를 저장한 것으로 알려졌다. 저장된 정보에는 고객의 이름, 이메일, 전화번호, 주소, 일부 주문정보, 2609개의 공동현관 출입 번호 등이 포함됐다. 재직중 탈취한 보안 키를 사용해 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도한 뒤 정보 일부를 해당 기기에 저장하는 방식을 이용했다.
유출자는 하지만 개인정보 탈취 사실이 언론에 의해 보도되자 극도의 불안에 빠져 저장했던 정보를 모두 삭제한 것으로 알려졌다. 쿠팡은 고객 정보중 제3자에게 전송된 데이터는 일절 없는 것으로 조사됐다고 밝혔다.
쿠팡은 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 의뢰해 조사를 진행했으며 이들 포렌식 조사 결과, 이같은 사실이 확인됐고 유출자가 제출한 데스크톱 PC와 PC에서 사용된 하드디스크 드라이브 4개를 분석한 결과 이들 장치에서 공격에 사용된 스크립트가 발견됐다고 덧붙였다.
유출자가 '(데이터 유출에 사용된) 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌을 채워 하천에 던졌다'고 한 진술에 근거, 해당 하천에서 문제의 기기도 회수했다. 이 노트북의 일련번호가 유출자의 아이클라우드(iCloud) 계정에 등록된 일련번호와 정확히 일치 것으로 알려졌다.
쿠팡은 "현재까지 조사 결과는 유출자의 진술 내용과 부합하며, 유출자의 진술과 모순되는 증거가 발견되지 않았다"고 설명했다.
쿠팡은 지난 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 자료가 확보되는 즉시 정부에 제출해왔다고 설명했지만 유출자의 진술 확보 등을 수사기관이 아닌 쿠팡이 수행한 이유 등을 설명하지는 않았다. 쿠팡은 조사 주체에 대한 질문에 "현재로서는 제공된 정보 외에는 확인할 수 없다"며 즉답을 피했다.
큰 파문을 일으킨 개인정보 유출과 관련해서는 "책임을 통감한다"며 "수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다"고 밝혔다. 이어 "향후 진행될 조사 경과에 따라 지속적으로 안내를 할 예정으로, 이번 사태로 인한 고객 보상 방안을 조만간 별도로 발표할 것"이라고 강조했다.