내부 보안 키 악용해 3300만 계정 접근실제 저장 정보는 3000건 확인결제·로그인·통관번호 등 민감정보는 미노출경영진 책임·피해 보상 대책 검토
  • ▲ ⓒ쿠팡
    ▲ ⓒ쿠팡
    쿠팡이 최근 개인정보 유출 사태와 관련해 정보를 유출한 전직 직원을 특정해 정보 접근 및 탈취에 사용된 모든 장치와 하드디스크 드라이브를 모두 회수·확보했으며 외부 전송은 없었던 것으로 자체 조사됐다고 25일 밝혔다.

    쿠팡은 이날 보도자료를 통해 "디지털 지문(digital fingerprints) 등 포렌식 증거를 토대로 고객 정보를 유출한 전직 직원을 특정했다"면서 "해당 인물이 사용한 PC와 맥북 등 관련 장치 일체를 검증된 절차에 따라 회수했다"고 설명했다.

    쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 고객 기본정보에 접근했다. 이 과정에서 최대 3300만 고객 계정의 이름·이메일·주소·전화번호 등 기본 정보에 접근이 가능했던 것으로 조사됐다.

    다만 실제 저장된 정보는 약 3000개 계정으로 제한적이었다고 쿠팡은 밝혔다. 저장된 정보에는 일부 주문 정보와 함께 공동현관 출입번호 2609건이 포함돼 있었으나 결제정보나 로그인 정보, 개인통관고유번호 등 민감 정보는 접근조차 되지 않은 것으로 확인됐다는 설명이다.

    쿠팡은 "독립적인 글로벌 보안업체의 포렌식 분석 결과 해당 정보가 외부로 전송된 정황도 발견되지 않았다"며 "언론 보도 직후 유출자가 저장해 둔 정보를 모두 삭제했으며 이 역시 조사 결과와 일치한다"고 강조했다.

    쿠팡은 이번 사건과 관련해 글로벌 상위 보안업체인 맨디언트와 팔로알토 네트웍스, 언스트앤영 등을 참여시켜 정밀 조사를 진행했다고 밝혔다.

    조사 과정에서 유출자가 사용한 PC와 하드드라이브에서는 실제 공격에 사용된 스크립트 파일이 확인됐다. 또 유출자가 증거 인멸을 위해 파기 후 하천에 투기한 맥북 역시 회수돼 포렌식이 진행됐다고 덧붙였다.

    쿠팡은 향후 정부 조사에 적극 협조하는 한편 고객 보상 방안을 별도로 마련해 발표할 계획이라고 밝혔다. 

    쿠팡은 "이번 사태로 고객들에게 큰 우려와 불편을 끼쳐 송구하다"며 "재발 방지를 위한 모든 조치를 시행하고 개인정보 보호 체계를 한층 강화하겠다"고 거듭 사과했다.

    한편 대통령실은 쿠팡의 3370만명 규모 개인정보 유출 사태 대응을 위한 범부처 관계장관 회의를 긴급 소집해 경영진 처벌 방안과 소비자 피해 구제책 등을 논의했다.

    김용범 대통령실 정책실장은 이날 오후 서울 용산 대통령실에서 배경훈 과학기술정보통신부 장관, 조현 외교부 장관, 김윤덕 국토교통부 장관과 함께 송경희 개인정보보호위원장, 주병기 공정거래위원장, 임광현 국세청장 등 관계 부처 수장들이 참석한 가운데 회의를 주재했다. 특히 김 실장을 포함해 정책실뿐 아니라 국가안보실 인사들도 자리했다.