쿠팡, 개인정보 유출자 진술 받아..경찰도 “사실 확인 중”

[한국정경신문=서재필 기자] 쿠팡의 대규모 고객정보 유출 사태를 일으킨 유출자의 진술서 및 범행에 사용한 관련 장치들을 확보한 것으로 알려진다. 경찰도 쿠팡이 확보한 자료들에 대한 사실 확인을 진행 중이다.

25일 쿠팡은 디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다고 밝혔다. 쿠팡에 따르면 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다.

쿠팡은 “유출자가 쿠팡 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드 드라이브는 검증된 절차에 따라 모두 회수되어 안전하게 확보했다”며 “지난 12월 17일 유출자의 진술서 제출을 시작으로, 관련 장치 등 일체 자료를 확보하는 즉시 정부에 제출해 왔다”고 설명했다.

조사에 따르면 유출자는 탈취한 보안 키를 사용하여 3300만 고객 계정의 기본적인 고객 정보에 접근했고 약 3000개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 실제 저장했다.

여기에 포함된 공동현관 출입번호는 2609개였고 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제한 것으로 확인된다. 쿠팡은 고객 정보 중 제3자에게 전송된 데이터는 일체 없다고 강조했다.

유출자는 재직 중 취득한 내부 보안 키를 탈취해 이름, 이메일, 주소, 전화번호 등 일부 고객 개인정보에 접근했다고 진술했다. 결제정보, 로그인 관련 정보, 개인통관번호에 대한 접근은 없었다는 것이 쿠팡 측 설명이다.

유출자는 개인용 데스크톱 PC와 맥북에어 노트북을 사용해 공격을 시도했고 접근한 정보 중 일부를 해당 기기에 저장했다고 진술했다. 독립적인 포렌식 조사 결과 쿠팡 시스템에 대한 불법접근은 유출자가 진술한 대로 1대의 PC 시스템과 1대의 애플 시스템을 통해 수행된 것으로 확인됐다. 해당 데스크톱 PC와 PC에서 사용된 4개의 하드 드라이브를 제출했으며 분석 결과 이들 저장장치에서 공격에 사용된 스크립트가 발견됐다.

이러한 쿠팡의 발표에 경찰 측은 사실 여부 확인에 나섰다.

서울경찰청 사이버수사과는 25일 언론 공지를 통해 “지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출받았다”며 이같이 밝혔다.

경찰은 이것이 피의자가 실제로 작성한 것인지, 범행에 사용된 증거물인지 여부를 분석하고 있다고 설명했다.

쿠팡 관계자는 “이번 사태로 인한 고객보상 방안을 조만간 별도로 발표할 예정”이라며 “앞으로도 고객들의 소중한 개인정보를 보호하기 위해 최선을 다하고 정부 조사에 적극 협조할 것”이라고 말했다.