쿠팡이 최근 불거진 개인정보 유출 사태와 관련해 전직 직원의 단독 범행으로 사건의 실체가 확인됐다고 밝혔다. 쿠팡은 정밀한 포렌식 조사를 통해 고객 정보에 불법 접근한 인물을 특정했으며, 고객 개인정보가 외부로 유출되거나 제3자에게 전달된 정황은 발견되지 않았다고 설명했다. 회사 측은 이번 사건이 내부 보안 체계를 악용한 개인의 불법 행위로 파악됐다는 점을 분명히 했다.
업계에 따르면 쿠팡은 디지털 지문 등 포렌식 증거를 토대로 고객 정보에 무단 접근한 전직 직원을 특정했고, 해당 인물은 조사 과정에서 범행 사실을 자백했다. 유출자는 고객 정보에 접근하게 된 경위와 접근 이후 저장·삭제에 이르는 전 과정을 구체적으로 진술했으며, 현재까지 확인된 포렌식 결과는 이 같은 진술과 전반적으로 부합하는 것으로 나타났다.
◆ 내부 보안 키 탈취 후 시스템 접근…저장된 정보는 제한적
쿠팡 설명에 따르면 유출자는 재직 당시 취득한 내부 보안 키를 탈취해 시스템에 접근했으며, 이를 통해 이름과 이메일, 주소, 전화번호 등 일부 고객 개인정보를 열람했다고 진술했다. 이 과정에서 접근이 가능했던 고객 계정 수는 약 3300만 개에 달했으나, 실제로 저장한 정보는 약 3000개 계정 분량에 그친 것으로 파악됐다.
저장된 정보는 이름, 이메일, 전화번호, 주소, 일부 주문 정보였으며, 이 가운데 공동현관 출입번호는 2609개로 확인됐다. 쿠팡은 결제 정보나 로그인 정보, 개인통관고유부호 등 민감 정보에는 접근한 사실이 없었고, 고객 정보가 외부로 전송되거나 제3자에게 전달된 흔적도 발견되지 않았다고 강조했다.
◆ 글로벌 보안 전문기관 참여한 포렌식 조사 진행
쿠팡은 사건 초기부터 정확한 사실관계를 확인하기 위해 글로벌 사이버 보안 전문기관에 포렌식 조사를 의뢰했다. 조사에는 맨디언트와 팔로알토 네트웍스, 언스트앤영 등 세계적 수준의 외부 전문기관이 참여했으며, 시스템 접근 기록과 데이터 저장·전송 내역을 다각도로 분석한 것으로 알려졌다.
쿠팡 측은 유출자가 사용한 모든 장치와 하드 드라이브를 검증된 절차에 따라 회수해 확보했으며, 지난 17일부터 관련 진술서와 장치 자료 일체를 정부 기관에 제출해 왔다고 밝혔다. 현재 진행 중인 정부 조사에도 성실히 협조하고 있다는 입장이다.
◆ 개인 PC·노트북 이용해 불법 접근…증거 은폐 시도도 드러나
포렌식 조사 결과 유출자는 개인용 데스크톱 PC와 맥북 에어 노트북을 이용해 쿠팡 시스템에 불법 접근한 것으로 확인됐다. 쿠팡 시스템에 대한 접근은 이 두 기기를 통해서만 이뤄졌으며, 다른 경로를 통한 침입 흔적은 발견되지 않았다는 설명이다.
또한 유출자는 증거를 은폐하기 위해 맥북 에어 노트북을 물리적으로 파손한 뒤 벽돌을 담은 쿠팡 에코백에 넣어 인근 하천에 투기했다고 진술했다. 쿠팡과 수사 당국은 이 진술을 토대로 해당 노트북을 회수했으며, 기기 일련번호가 유출자의 아이클라우드 계정에 등록된 정보와 일치하는 점도 확인했다.
유출자는 언론 보도를 접한 이후 저장돼 있던 고객 정보를 모두 삭제했다고 진술했으며, 현재까지의 조사 결과는 이 같은 진술과 대체로 일치하는 것으로 나타났다.
◆ 쿠팡, 추가 조사 결과 공개 및 고객 보상 방안 예고
쿠팡은 이번 개인정보 유출 사태와 관련한 추가 조사 경과를 지속적으로 안내하는 한편, 고객 보상 방안도 별도로 발표할 계획이라고 밝혔다. 회사 측은 이번 사건을 계기로 내부 보안 체계를 전면적으로 재점검하고, 재발 방지를 위한 기술적·관리적 보완 대책을 강화하겠다는 방침이다.
쿠팡 관계자는 “고객의 소중한 개인정보 보호를 최우선 가치로 삼고 있다”며 “정부 조사에 적극 협조하는 동시에, 재발 방지를 위한 모든 대책을 강구해 2차 피해 예방에 최선을 다하겠다”고 말했다.