[디지털투데이 손슬기 기자] 쿠팡은 개인정보 유출자를 특정했고 고객 정보 접근에 사용된 모든 장비를 회수했다고 25일 밝혔다.

쿠팡에 따르면 이번 사건의 유출자는 전직 직원 1명으로, 재직 당시 취득한 내부 보안 키를 탈취해 고객 정보에 접근한 것으로 조사됐다. 다만 실제로 저장한 정보는 약 3000개 계정에 한정됐으며, 언론 보도 이후 해당 정보는 모두 삭제됐다는 설명이다.

현재까지 조사 결과에 따르면 유출자는 총 3300만명 규모의 고객 계정에 접근 권한을 확보했으나, 이중 약 3000개 계정의 정보만 개인 장치에 저장했다. 저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문 정보가 포함됐으며, 공동현관 출입번호는 2609개 계정에서 확인됐다. 결제 정보, 로그인 정보, 개인통관고유번호 등 민감 정보는 포함되지 않았고, 외부 전송 정황도 발견되지 않았다는 것이 쿠팡 측 설명이다.

쿠팡은 디지털 포렌식 분석을 통해 유출자의 신원을 특정했다고 밝혔다. 회사는 글로벌 사이버 보안 업체 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 3곳에 조사를 의뢰했으며, 포렌식 결과는 유출자의 진술과 부합한다고 설명했다.

유출자는 개인 데스크톱 PC와 맥북 에어 노트북을 사용해 고객 정보에 접근한 것으로 조사됐다. 쿠팡은 해당 PC 1대와 하드 드라이브 4개를 확보했으며, 분석 과정에서 공격에 사용된 스크립트가 발견됐다고 밝혔다.

노트북의 경우, 유출자가 증거 인멸을 시도하며 물리적으로 파손한 뒤 벽돌을 넣은 가방에 담아 인근 하천에 투기한 것으로 조사됐다. 쿠팡은 유출자의 진술을 토대로 잠수부를 투입해 해당 기기를 회수했으며, 기기 일련번호가 유출자의 아이클라우드 계정 정보와 일치했다고 설명했다.

쿠팡은 이번 사태와 관련해 수사 초기부터 확보한 진술서와 장비, 포렌식 자료를 정부 기관에 제출했으며, 현재 진행 중인 조사에도 협조하고 있다고 밝혔다.

쿠팡은 "개인정보 유출로 고객들에게 큰 불안을 끼친 점에 대해 책임을 통감한다"며 사과 입장을 밝혔다. 회사는 향후 조사 경과에 따라 추가 안내를 진행하고, 고객 보상 방안도 별도로 발표할 계획이다.

한편 정부 당국은 쿠팡의 개인정보 관리 체계 전반에 대한 조사와 함께 관련 법 위반 여부를 살펴보고 있다.

• 오픈AI, 챗GPT 광고 테스트 탄력....답변에 스폰서 정보 먼저 보여주는 것도 포함
• 폴리마켓, 계정 해킹 피해…"서드파티 인증 툴 취약점이 원인"
• HCL소프트웨어, 2억4000만달러에 재스퍼소프트 인수
• 미니맥스, M2.1 AI 모델 출시…멀티 언어 프로그래밍 지원
• 한은 "내년 물가·성장·집값·환율 고려해 금리인하 여부 결정"