[알파경제=차혜영 기자] 쿠팡은 최근 발생한 개인정보 유출 사태와 관련하여, 전직 직원의 단독 범행으로 확인되었으며 관련 조사 결과를 25일 발표했습니다.

이번 사태로 인해 수많은 고객들이 겪은 우려와 불편에 대해 깊은 유감을 표했습니다.

쿠팡은 디지털 지문 등 포렌식 증거를 토대로 고객 정보를 유출한 전직 직원을 특정했으며, 해당 직원은 혐의 일체를 자백하고 정보 탈취 과정을 구체적으로 진술했습니다.

유출에 사용된 모든 장치와 하드 드라이브는 회수 및 확보되었으며, 관련 자료는 정부 기관 조사에 성실히 제출되고 있습니다.

사건 초기부터 쿠팡은 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰하여 철저한 포렌식 분석을 진행했습니다.

현재까지 조사 결과는 유출자의 진술과 일치하는 것으로 나타났습니다.

유출자는 탈취한 보안 키를 이용해 3,300만 고객 계정의 기본적인 고객 정보에 접근했으며, 이 중 약 3,000개 계정의 이름, 이메일, 전화번호, 주소, 일부 주문 정보 등을 저장했습니다.

저장된 정보에는 2,609개의 공동현관 출입번호가 포함되었습니다. 유출자는 언론 보도 이후 저장했던 정보를 모두 삭제했으며, 고객 정보가 제3자에게 전송된 사실은 없는 것으로 확인되었습니다.

유출자는 재직 중 취득한 내부 보안 키를 탈취하여 고객 정보에 접근했으며, 결제 정보, 로그인 정보, 개인통관번호 등에는 접근하지 않은 것으로 파악되었습니다.

또한, 약 3,000개 계정의 주문 정보와 공동현관 출입번호에 접근했으나, 이는 전체 고객 정보 대비 매우 제한적인 수준입니다.

공격은 개인용 데스크톱 PC와 MacBook Air 노트북을 통해 이루어졌으며, 유출자는 해당 기기에 일부 정보를 저장했다고 진술했습니다.

포렌식 조사 결과, 불법 접근은 유출자가 진술한 기기들을 통해 수행되었으며, 공격에 사용된 스크립트가 저장 장치에서 발견되었습니다.

유출자는 언론 보도 이후 불안감을 느껴 증거 인멸을 시도했으며, MacBook Air 노트북을 물리적으로 파손하여 하천에 투기했다고 진술했습니다.

잠수부들이 회수한 노트북은 유출자의 진술대로 벽돌과 함께 발견되었으며, 일련번호 또한 일치했습니다.

유출자는 단독으로 범행을 저질렀으며, 저장했던 고객 정보는 개인 PC와 노트북에만 국한되었고 외부 전송은 없었다고 진술했습니다.

언론 보도 직후 저장된 모든 고객 정보를 삭제했다고 밝혔으며, 현재까지 조사 결과는 유출자의 진술과 일치하는 것으로 나타났습니다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]