쿠팡은 25일 고객 3370만 개의 개인정보 무단 유출 사태와 관련해 범인을 중국인 퇴직 직원으로 특정하고 범죄에 사용된 PC와 노트북. 하드 드라이버 등을 회수했다고 밝혔다.
이 발표는 대통령실이 쿠팡 사태와 관련해 긴급 범정부 관계장관회의를 열기 약 30분 전에 나왔다.
쿠팡은 “해당 직원이 실제 저장한 개인 정보는 3000여 개로, 실제 접근한 정보의 수보다 현저히 적다”고 했다.
쿠팡은 이날 배포한 자료에서 “디지털 지문(digital fingerprints) 등 포렌식 증거를 통해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”고 말했다.
쿠팡이 밝힌 유출자의 진술 등에 따르면, 유출자는 탈취한 보안 키를 사용해 고객 계정 3370만 개의 기본적인 고객 정보에 접근했으나 이중 약 3000개 계정의 고객 정보만 저장했다.
여기 포함된 정보는 공동현관 출입번호 2609개와 이름, 이메일, 전화번호, 주소, 일부 주문정보 등이다.
쿠팡은 "결제정보, 로그인 정보, 개인통관고유부호 등 민감 정보에는 접근하지 못한 것으로 확인됐다"고 강조했다.
유출자는 개인용 데스크톱 PC와 맥북에어 노트북을 사용해 공격을 시도했고 접근한 정보 중 일부를 해당 기기에 저장했다.
유출자는 한국에서의 수사가 시작되자 증거를 은폐하기 위해 해당 노트북 등을 훼손해 하천에 내다버렸다.
쿠팡은 잠수부들이 하천에서 노트북을 회수했고, 기기 일련번호가 유출자의 아이클라우드 계정에 등록된 정보와 일치한 것으로 확인했다.
쿠팡은 “유출자는 관련 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제3자에게 전송된 데이터는 없는 것으로 조사됐다”고 했다.
이어 “이달 17일 유출자에게서 받은 진술서와 개인정보 유출에 쓰인 관련 장치 등을 정부에 제출했다”고 밝혔다.
쿠팡은 “향후 진행될 조사 경과에 따라 지속적으로 안내할 예정이며 고객보상 방안을 조만간 별도로 발표하겠다”고 밝혔다.
한편 쿠팡은 사건 직후 맨디언트·팔로알토 네트웍스·언스트앤영(EY) 등 글로벌 보안업체 3곳에 포렌식 조사를 의뢰했다.
현재까지 확인된 조사 결과는 유출자의 진술과 일치한다고 밝혔다.