쿠팡은 개인정보 유출자를 특정해 고객 정보 유출에 사용된 모든 장치를 회수했다고 25일 밝혔다.
현재까지 쿠팡의 조사에 따르면 유출자 A씨는 전직 직원 1명으로, 재직 당시 취득한 내부 보안 키를 탈취해 고객 정보에 접근한 것으로 확인됐다. A씨는 3300만 고객 정보에 접근했지만 약 3000개 계정의 고객 정보만 저장했다.
저장된 정보엔 이름·이메일·전화번호·주소·일부 주문 정보·공동현관 출입번호 2609개 등이 포함됐다. 하지만 결제 정보나 로그인 정보, 개인통관고유번호 등 민감 정보는 포함되지 않았다.
이후 A씨가 저장한 3000개가량의 계정 정보도 모두 삭제한 것으로 확인됐다. 특히 외부 전송 등 추가 유출은 없었다는 게 쿠팡 측 설명이다.
쿠팡은 디지털 포렌식 분석을 통해 유출자의 신원을 특정했다고 전했다. 포렌식 분석은 글로벌 사이버 보안업체 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 3곳에 조사를 의뢰했고, 포렌식 결과는 A씨의 진술과 부합한 것으로 조사됐다.
A씨는 개인 데스크톱 PC와 맥북 에어 노트북을 사용해 고객 정보에 접근했다. 쿠팡은 해당 PC 1대와 하드 드라이브 4개를 확보했고, 포렌식 분석 과정에서 공격에 사용된 스크립트를 발견했다고 설명했다.
노트북의 경우 A씨가 증거 인멸을 시도하고자 물리적으로 파손한 뒤 벽돌을 넣은 가방에 담아 인근 하천에 버린 것으로 조사됐다. 쿠팡은 A씨의 진술을 토대로 잠수부를 투입해 해당 기기를 회수했고, 기기 일련번호가 A씨의 아이클라우드 계정 정보와 일치한 것으로 확인됐다.
쿠팡은 이번 3370만건의 대규모 개인정보 유출 사태와 관련해 수사 초기부터 확보한 진술서와 장비 및 포렌식 자료를 정부 기관에 제출했다.
쿠팡 측은 "현재 진행 중인 조사에도 협조하고 있다"며 "개인 정보 유출로 고객들에게 큰 불안을 끼친 점에 대해 책임을 통감한다. 향후 조사 경과에 따라 추가 안내 진행 후 고객 보상 방안도 별도로 발표할 계획"이라고 했다. 이어 "2차 피해를 예방하는 데 최선을 다하겠다"며 "이번 사태를 계기로 재발 방지를 위한 모든 방안을 강구할 것임을 약속드린다"고 덧붙였다.