[지디넷코리아]
쿠팡이 최근 발생한 개인정보 유출 사태 관련 용의자인 유출자를 특정했다면서, 고객 보상 방안을 조만간 별도로 발표하겠다고 약속했다. 이어 고객들에게 다시 한 번 고개를 숙였다.
쿠팡은 25일 “이번 개인정보 유출로 고객 여러분께 큰 걱정과 불편을 끼쳐드린 점에 대해 책임을 통감한다”면서 “사태 수습과 재발 방지를 위해 모든 역량을 동원하고 있으며, 고객 보상 방안도 곧 공식 안내할 예정”이라고 밝혔다.
이어 “정부기관 조사에 성실히 협조하는 한편, 2차 피해가 발생하지 않도록 끝까지 책임 있는 조치를 이어가겠다”며 “이번 사태를 계기로 개인정보 보호 체계를 전면 재점검하고 재발 방지 대책을 강구하겠다”고 강조했다. 아울러 “수많은 고객과 국민들께 심려를 끼쳐드린 점에 대해 다시 한 번 진심으로 사과드린다”고 거듭 사과했다.
쿠팡에 따르면, 회사는 디지털 지문(digital fingerprints) 등 포렌식 증거를 토대로 고객 정보를 유출한 전직 직원을 특정, 유출에 사용된 모든 장치와 저장매체를 회수해 확보했다.
현재까지 조사 결과에 따르면 유출자는 단독으로 범행을 저질렀으며, 탈취한 내부 보안 키를 이용해 약 3천300만 명 고객 계정의 기본 정보에 접근했다. 다만 실제로 저장한 정보는 약 3천개 계정에 한정됐고, 해당 정보는 모두 삭제한 것으로 확인됐다.
저장된 정보에는 이름·이메일·전화번호·주소·일부 주문 정보가 포함됐으며, 공동현관 출입번호는 2천609개가 포함된 것으로 파악됐다. 결제정보·로그인 정보·개인통관고유번호 등 민감 정보는 접근·유출되지 않았고, 제3자에게 외부 전송된 사실도 없는 것으로 조사됐다.
쿠팡은 사건 초기부터 맨디언트·팔로알토 네트웍스·언스트앤영 등 글로벌 보안업체 세곳에 포렌식 조사를 의뢰해 조사를 진행했다. 회사 측은 “외부 전문기관의 분석 결과 역시 유출자의 진술과 일치하며, 추가 유출 정황은 발견되지 않았다”고 설명했다.
유출자는 개인 데스크톱 PC와 맥북에어 노트북을 사용해 고객 정보에 접근한 것으로 조사됐으며, 해당 PC와 하드디스크는 모두 제출돼 분석이 완료됐다. 맥북에어 노트북의 경우 증거 인멸을 시도해 하천에 투기했으나, 수색을 통해 회수됐고 일련번호도 유출자의 계정 정보와 일치한 것으로 확인됐다.
이번 쿠팡 발표와 관련, 과학기술정보통신부는 민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다고 밝혔다. 과기정통부는 “현재 민관합동조사단에서 정보유출 종류 및 규모, 유출경위 등에 대해 면밀히 조사 중에 있는 사항”이라면서 “쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다”고 덧붙였다.