▲쿠팡(이투데이DB)

쿠팡은 이날 보도자료를 통해 "고객 정보를 유출한 전직 직원을 특정했으며, 고객 정보에 접근하고 탈취하는 데 사용된 모든 장치와 하드디스크 드라이브를 회수·확보했다"라며 "조사 결과 고객 정보의 외부 전송은 없었던 것으로 확인됐다"라고 전했다.

쿠팡은 "디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 유출자를 특정했고, 유출자는 자신의 행위를 자백하며 고객 정보 접근 방식에 대해 구체적으로 진술했다"라고 설명했다.

유출자의 진술과 사이버 보안 업체의 조사 결과를 종합하면, 유출자는 탈취한 내부 보안 키를 이용해 고객 계정 약 3300만 개의 기본 정보에 접근했으나 이 중 약 3000개 계정의 고객 정보만을 저장한 것으로 파악됐다. 저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문 정보와 2609개의 공동현관 출입 번호가 포함됐다.

유출자는 관련 언론 보도를 접한 이후 저장했던 고객 정보를 모두 삭제했으며, 조사 결과 제3자에게 전송된 데이터는 일절 없는 것으로 확인됐다.

쿠팡에 따르면 유출자는 재직 중 취득한 내부 보안 키를 탈취해 개인용 데스크톱 PC와 맥북 에어 노트북으로 공격을 시도했고, 일부 고객 정보를 해당 기기에 저장했다고 진술했다. 포렌식 조사 결과 이 같은 진술은 사실로 확인됐으며, 제출된 데스크톱 PC와 해당 PC에 사용된 하드디스크 드라이브 4개에서는 공격에 사용된 스크립트가 발견됐다.

쿠팡은 사건 초기부터 엄격한 조사를 위해 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰했으며, 유출자의 진술에 대해서도 교차 검증을 진행했다고 밝혔다.

또한 유출자는 언론 보도를 접한 뒤 극도의 불안에 빠져 저장된 정보를 모두 삭제했으며, “맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌을 채워 하천에 버렸다”고 진술했다. 쿠팡은 진술에 따라 해당 하천을 수색해 벽돌이 담긴 에코백에서 노트북을 회수했고, 해당 기기의 일련번호가 유출자의 아이클라우드(iCloud) 계정에 등록된 일련번호와 정확히 일치함을 확인했다고 밝혔다.

쿠팡은 “현재까지의 조사 결과는 유출자의 진술과 부합하며, 진술과 모순되는 증거는 발견되지 않았다”고 강조했다. 아울러 지난 17일부터 유출자의 진술서 제출을 시작으로 확보된 관련 자료를 순차적으로 정부에 제출해 왔다고 덧붙였다.

개인정보 유출자의 진술 확보 및 조사를 경찰이나 민관합동조사단이 아닌 쿠팡이 수행하게 된 경위에 대해서는 명확히 확인되지 않았다. 이에 대해 쿠팡은 “현재로서는 제공된 정보 외에는 확인할 수 없다”고 밝혔다.

다만 쿠팡이 이날 발표한 내용에 대해 정부는 "쿠팡이 주장하는 내용은 민관합동조사단에 의해 확인되지 않았다. 일방적인 주장"이라고 전했다.