▲쿠팡 본사 로고 간판 모습/사진=자료

[토요경제 = 이덕형 기자] 최근 대규모 개인정보 유출 논란에 휩싸인 쿠팡이 전직 직원의 단독 범행으로 사건의 윤곽이 드러났으며, 현재까지 조사 결과 고객 정보의 외부 전송은 없었던 것으로 확인됐다고 밝혔다.

쿠팡은 25일 보도자료를 내고 “디지털 지문 등 포렌식 증거를 통해 고객 정보를 유출한 전직 직원을 특정했으며, 해당 인물은 범행 전반을 자백하고 접근 방식과 사용 장비를 구체적으로 진술했다”고 밝혔다. 

쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 고객 정보에 접근했다.

조사 결과 유출자는 약 3천300만 개 고객 계정의 기본 정보에 접근할 수 있었으나, 실제로 저장한 정보는 약 3천 개 계정에 불과한 것으로 파악됐다. 

저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문 정보와 함께 2천609개의 공동현관 출입 번호가 포함돼 있었다. 

유출자는 언론 보도를 통해 사건이 알려진 직후 극도의 불안 상태에 빠졌으며, 저장해 두었던 모든 고객 정보를 삭제했다고 진술한 것으로 전해졌다.

쿠팡은 “현재까지 조사 결과 고객 정보가 제3자에게 외부 전송된 정황은 확인되지 않았다”고 강조했다. 

포렌식 분석 과정에서 유출자가 제출한 데스크톱 PC와 하드디스크 드라이브 4개에서는 실제 공격에 사용된 스크립트가 발견됐으며, 진술 내용과 포렌식 결과가 서로 일치했다고 설명했다.

특히 유출자는 범행에 사용한 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 찍힌 에코백에 벽돌을 담아 하천에 유기했다고 진술했다. 

이에 따라 해당 하천을 수색한 결과 동일한 에코백과 노트북이 회수됐고, 기기 일련번호가 유출자의 아이클라우드 계정에 등록된 번호와 일치하는 점도 확인됐다.

쿠팡은 사건 초기부터 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영 등에 의뢰해 포렌식 조사를 진행해 왔으며, 확보된 자료를 정부에 순차적으로 제출해 왔다고 밝혔다. 

다만 개인정보 유출자의 진술 확보와 초기 조사 과정이 경찰이나 민관 합동 조사단이 아닌 쿠팡 주도로 이뤄진 배경에 대해서는 명확한 설명을 내놓지 않았다.

한편 경찰은 별도로 강제 수사에 착수했다. 서울경찰청 사이버수사과는 지난 9일 총경급 과장을 포함한 인력을 투입해 쿠팡 본사 사무실을 압수수색하며 관련 자료를 확보했다. 

경찰 수사는 유출 경위와 관리 책임, 추가 피해 여부 전반으로 확대되고 있다.

쿠팡은 “이번 개인정보 유출로 국민들께 큰 걱정과 불편을 끼쳐드린 점에 대해 책임을 통감하며 진심으로 사과드린다”고 밝혔다. 이어 “향후 조사 경과에 따라 추가로 안내할 예정이며, 고객 보상 방안도 조만간 별도로 발표하겠다”고 덧붙였다.

[저작권자ⓒ 토요경제. 무단전재-재배포 금지]