대통령실이 쿠팡의 대규모 개인정보 유출 사태와 관련해 범정부 관계 장관 회의를 소집한 25일 서울의 한 쿠팡센터에 배송차가 세워져 있다. 뉴시스

회원 3,370만 명의 개인정보 유출 사고를 일으킨 쿠팡이 25일 정보 유출자를 특정해 정보 유출에 사용된 모든 장치를 회수했다고 밝혔다. 유출자가 3,300만 명의 정보에 접근해 약 3,000개 계정 정보를 저장했으나, 현재는 모두 삭제한 것으로 확인됐다고도 주장했다. 경찰의 수사가 진행 중인데 자체 조사 결과를 먼저 발표한 것이다.

쿠팡은 이날 입장문을 통해 "유출자는 3,300만 명 정보에 접근했지만 약 3,000개 계정만 실제로 저장했다"며 "저장한 정보에는 공동 현관 출입번호 2,609개를 비롯해 이름, 이메일, 전화번호, 주소, 일부 주문정보 등이 있고 결제정보·로그인·개인통관고유번호는 없다"고 밝혔다. 또 저장된 고객 정보 중 제3자에게 전송된 데이터도 없고, 유출자가 사태에 대한 언론 보도를 접한 후 저장한 정보를 모두 삭제한 것으로 파악됐다고 덧붙였다.

쿠팡은 사건 초기부터 글로벌 사이버보안 업체 맨디언트, 팔로알토 네트웍스, 언스트앤영에 의뢰해 이러한 내용들을 조사했다고 주장했다. 디지털 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정한 뒤 그가 자백한 내용을 토대로 구체적인 사실을 파악했다고 설명했다.

쿠팡은 "유출자가 고객 정보 접근 및 탈취에 사용한 모든 장치와 하드 드라이브는 검증된 절차에 따라 회수해 안전하게 확보했다"면서 "지난 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 일체 자료를 확보하는 즉시 정부에 제출해 왔다"고 밝혔다. 외부 업체 포렌식 결과에 따르면 데스크톱 PC 한 대와 맥북 에어 노트북 한 대로 정보 유출이 이뤄졌고, 이는 유출자 본인의 진술과도 일치한다는 설명이다.

쿠팡은 해당 PC와 PC에서 사용한 4개 하드 드라이브는 유출자가 제출했고, 이 저장장치에서 해킹에 사용된 스크립트가 발견됐다고 밝혔다. 노트북은 유출자가 증거 은폐·파기를 위해 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던졌다고 진술했는데, 이후 쿠팡 측이 하천에 잠수부를 투입해 회수했다고 설명했다.

쿠팡은 "향후 진행될 조사 경과에 따라 지속적으로 안내하고, 이번 사태로 인한 고객보상 방안을 조만간 별도로 발표할 예정"이라며 "정부 조사에 적극 협조하고 2차 피해를 예방하는 데 최선을 다하겠다"고 밝혔다. 그러면서 "금번 사태를 계기로 재발 방지를 위한 모든 방안을 강구할 것임을 약속드린다"며 "모든 고객분들께 다시 한번 진심으로 사과드린다"고 했다.

한국일보

최나실 기자 ([email protected])