쿠팡 개인정보 유출 자체 조사 발표
3천 3백만 명 접근, 3천 개 계정 저장
미확인 사항 일방 발표에 강력 항의

쿠팡은 25일 보도자료를 통해 디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다고 밝혔다. 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했으며, 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드디스크 드라이브를 모두 회수해 안전하게 확보했다고 주장했다.

쿠팡은 엄격한 포렌식 조사를 위해 최상위 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰했으며 유출자의 진술도 검증했다고 강조했다. 이날 발표는 대통령실 주관 관계부처 대책 회의를 30분 앞둔 오후 3시 30분께 이뤄져 논란이 됐다.

3,000개만 저장 후 외부 전송은 없었다

쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 3,300만 개 계정의 기본적인 고객 정보에 접근했으나 이 중 약 3,000개 계정의 고객 정보만 저장했다. 유출된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문정보, 2,609개의 공동현관 출입번호가 포함됐다.

유출자는 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도한 뒤 정보 일부를 해당 기기에 저장했다고 진술했으며, 결제 정보, 로그인 관련 정보, 개인통관번호에는 접근하지 않았다고 주장했다.

쿠팡은 고객 정보 중 제3자에게 전송된 데이터는 일체 없으며 외부 전송 정황도 없는 것으로 조사됐다고 밝혔다.

증거 인멸 시도, 하천에서 노트북 회수

쿠팡은 유출자가 사태에 대한 언론 보도를 접한 후 극도의 불안에 빠져 저장했던 정보를 모두 삭제했다고 밝혔다. 유출자는 데이터 유출에 사용된 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌을 채워 인근 하천에 던졌다고 진술했다.

쿠팡은 진술에 따라 잠수부를 동원해 해당 하천을 수색한 결과 벽돌이 담긴 쿠팡 에코백에서 해당 기기를 회수했으며, 이 노트북의 일련번호가 유출자의 아이클라우드 계정에 등록된 일련번호와 정확히 일치하는지도 확인했다고 주장했다.

포렌식 조사 결과 유출자가 제출한 데스크톱 PC와 하드디스크 드라이브 4개를 분석한 결과 공격에 사용된 스크립트가 발견됐다고 설명했다.

미확인 사항 일방 발표에 강력 항의

과학기술정보통신부는 쿠팡 발표 약 1시간 만에 입장문을 내고 쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다고 밝혔다. 과기정통부는 민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다고 밝혔다.

서울경찰청 사이버수사과도 지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받아 실제 작성 여부와 범행에 사용된 증거물인지 여부 등을 면밀히 분석하고 있다고 밝혔다.

정부는 현재 정보유출 종류 및 규모, 유출 경위 등에 대해 면밀히 조사 중인 사항으로 쿠팡 측 주장이 사실인지 여부를 철저하게 수사하고 있다고 강조했다.

범부처 태스크포스 부총리급으로 확대

대통령실은 25일 오후 김용범 대통령실 정책실장 주재로 배경훈 부총리 겸 과기정통부 장관, 송경희 개인정보보호위원장, 주병기 공정거래위원장 등 관계부처 장관급 인사들과 경찰청 관계자가 참석한 대책 회의를 열었다. 이날 회의에는 오현주 국가안보실 3차장과 김진아 외교부 2차관 등 외교, 안보라인도 참석했다.

정부는 쿠팡 개인정보 유출 및 소비자 보호와 관련해 현재까지 진행 상황 및 향후 계획, 2차 피해 예방대책을 공유했으며, 현재 과기정통부 2차관이 팀장인 범부처 태스크포스를 향후 과기부총리 주재로 확대 운영하기로 했다고 밝혔다.

정부는 엄중한 조사와 대응과 함께 소비자 피해를 막기 위한 근본적 제도 개선 방안도 준비하기로 했다고 강조했다.