쿠팡이 최근 개인정보 유출 논란과 관련해 포렌식 증거로 전직 직원을 특정했고, 범행에 사용된 장치와 저장매체를 모두 확보했으며 외부 전송 정황은 없었다고 25일 밝혔다.
다만 정부는 쿠팡의 발표 내용이 민관합동조사단에서 확인되지 않았다며 “일방적 공표”라고 반박했다.
쿠팡은 이날 보도자료에서 “디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다”며 “유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”고 밝혔다.
쿠팡 설명에 따르면 유출자는 탈취한 내부 보안 키를 이용해 고객 계정 3300만개의 기본 정보에 접근했지만, 실제로는 약 3000개 계정 정보만 저장했다고 진술했다. 저장된 정보에는 이름·이메일·전화번호·주소·일부 주문정보와 함께 공동현관 출입번호 2609개가 포함됐다고 쿠팡은 밝혔다.
쿠팡은 유출자가 언론 보도 이후 불안감을 느껴 저장했던 정보를 삭제했으며, “제3자 전송 데이터는 없었다”고 강조했다. 또한 유출자가 개인용 데스크톱 PC와 맥북 에어를 사용해 공격을 시도했고, 포렌식 분석에서 공격에 사용된 스크립트가 발견됐다고 주장했다.
쿠팡은 “(범행에 사용된) 맥북 에어 노트북을 물리적으로 파손한 뒤 하천에 던졌다”는 진술에 따라 수색을 진행해 기기를 회수했고, 일련번호가 유출자의 아이클라우드(iCloud) 계정 등록 정보와 일치하는 것도 확인했다고 설명했다.
조사에는 팔로알토 네트웍스 등 외부 보안업체가 참여했다고 쿠팡은 밝혔다.
쿠팡은 “고객들에게 큰 우려를 불러일으킨 점에 책임을 통감한다”며 “진심으로 사과드린다”고 덧붙였고, 향후 조사 경과에 따라 안내 및 보상 방안을 별도로 발표하겠다고 했다.
반면 과학기술정보통신부는 쿠팡 발표 직후 “민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 외부에 알린 데 대해 강력히 항의한다”며, 쿠팡이 주장한 “외부 전송 정황 없음” 등은 조사단이 확인해야 할 사안이라고 밝혔다.
