[소셜밸류=한시은 기자] 쿠팡이 고객 정보를 유출한 중국인 전 직원을 특정해 범행 일체를 자백받았다. 포렌식 증거를 활용해 조사한 결과, 실제 외부 저장 장치를 통해 빠져나간 고객 계정은 당초 알려진 3370만개가 아닌 3000여 개인 것으로 확인됐다. 이 과정에서 외부 유출 정황은 없는 것으로 파악했다.

쿠팡은 지난 25일 이 같은 내용의 고객 정보 유출 관련 긴급 자체 조사 결과를 발표했다.  

 

▲ 쿠팡이 대규모 개인정보 유출자를 특정했고, 고객 정보 유출에 사용된 모든 장치를 회수했다고 밝혔다./사진=쿠팡 제공

 

이날 쿠팡 측은 “유출자는 탈취한 보안 키를 사용해 3300만 고객 계정의 기본적인 고객 정보에 접근했고, 약 3000개 계정의 고객 정보(이름·이메일·전화번호·주소·일부 주문정보)를 실제 저장했다”고 밝혔다.

저장된 정보에는 공동현관 출입번호 2609개가 포함됐으나 민감 정보(결제 정보·로그인 정보·개인통관고유번호 등)는 포함되지 않은 것으로 나타났다. 현재는 이 정보 모두 삭제된 상태로, 제3자에게 전송되는 등 추가적인 외부 유출은 없는 것으로 확인했다.

앞서 쿠팡은 사고 직후 글로벌 3대 사이버 보안 업체(맨디언트·팔로알토 네트웍스·언스트앤영)에 조사를 의뢰한 바 있다. 디지털 지문 등 포렌식 증거를 활용해 특정한 유출자는 관련 행위를 모두 자백했다. 현재까지의 조사 결과는 유출자의 진술과 부합한다는 설명이다.

유출자가 고객 정보 탈취에 사용한 장치는 데스크톱 PC 1대와 맥북 에어 노트북 1대, 하드 드라이브 4개로 확인됐다. 모든 장치는 검증된 절차에 따라 모두 회수돼 확보한 것으로 알려졌다.

특히 유출자는 언론 보도 이후 맥북 에어 노트북을 물리적으로 파손한 뒤 인근 하천에 투기하는 등 증거의 은폐·파기를 시도한 것으로 조사됐다. 쿠팡은 유출자의 진술에 따라 해당 노트북을 회수했고, 기기 일련번호 역시 유출자의 아이클라우드 계정과 일치함을 확인했다.

쿠팡 측은 “이번 사태로 인한 고객보상 방안을 조만간 별도로 발표할 예정”이라며 “앞으로도 고객들의 소중한 개인정보를 보호하기 위해 최선을 다할 것이다”라고 말했다.

이어 “정부 조사에 적극 협조해 2차 피해를 예방하는 데 최선을 다하겠다”며 “이번 사태를 계기로 재발 방지를 위한 모든 방안을 강구할 것이다”라고 덧붙였다. 쿠팡은 이번 조사 결과를 정부합동조사단에 전달했다.

한편 이날 쿠팡의 ‘기습 발표’에 정부는 확인할 수 없는 내용이라며 반박에 나섰다.

과학기술정보통신부는 쿠팡의 자체 발표 이후 설명 자료를 내고 “민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 강력히 항의했다”며 “민관합동조사단에서 정보 유출 종류 및 규모, 유출 경위 등에 대해 면밀히 조사 중에 있는 사항으로, 쿠팡이 주장하는 사항은 조사단에 의해 확인되지 않았음을 알려드린다”고 밝혔다.

또 이날 김용범 대통령실 정책실장 주재로 쿠팡 개인정보 유출 사태 대응을 위한 범부처 관계장관 회의를 긴급 소집해 경영진 처벌 방안과 소비자 피해 구제책 등을 논의했다. 기존 과학기술정보통신부 제2차관이 이끌던 쿠팡 개인정보 유출 대응 범부처 태스크포스(TF)를 과학기술부총리 주재로 확대 운영하기로 했다.

지난 2일 국무회의에서 이재명 대통령은 “쿠팡 때문에 우리 국민들께서 걱정이 많다”며 “관계부처는 해외 사례들을 참고해 과징금을 강화하고 징벌적 손해배상 제도도 현실화하는 등 실질적이고 실효적인 대책 마련에 나서주시기 바란다”고 지시한 바 있다.

[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]