고객 정보 탈취에 쓰인 장치 회수...쿠팡, “저장했던 정보 모두 삭제, 제3자 전송 없어”
과기정통부, “민관합동조사단에 의해 확인되지 않아”...강력 반발

[보안뉴스 한세희 기자] 쿠팡이 고객 정보를 유출한 전직 직원을 특정하고, 정보 유출에 사용된 기기를 모두 회수했다고 25일 밝혔다. 이 사람은 접근한 고객 정보 중 3000개 계정 정보만 저장했다 이후 삭제했다고 쿠팡은 밝혔다.

반면, 과학기술정보통신부는 쿠팡의 주장이 “민관합동조사단에 의해 확인되지 않았다”며 반발했다.

쿠팡은 디지털 지문 등 디지털 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정하고, 이 직원의 진술을 바탕으로 고객 정보 접근 및 탈취에 쓰인 모든 장치와 하드 드라이브를 확보했다.



조사 결과, 유출자는 탈취한 보안 키로 3300만 고객 계정의 고객 정보에 접근, 이중 약 3000개 계정의 고객 정보를 저장했다. 여기엔 이름과 이메일 전화번호, 주소, 일부 주문정보 등이 포함되며, 공동현관 출입번호 2609개도 유출됐다.

유출자는 사건이 언론에 보도된 후 저장했던 모든 정보를 삭제했고, 제3자에게 전송된 고객 정보는 없는 것으로 나타났다. 결제정보와 로그인 관련 정보, 개인통관번호는 포함되지 않았다.

이 같은 내용의 유출자 진술은 데이터 로그 및 포렌식 조사 결과와 부합한다고 쿠팡은 설명했다.

유출자는 단독으로 개인용 데스크톱PC와 맥북 에어 노트북PC로 공격을 수행하고 정보를 저장했다고 진술했다. 잠수부들이 이 전 직원의 진술에 따라 하천에서 맥북 에어 기기가 벽돌과 함께 담긴 쿠팡 에코백을 회수했다.

쿠팡은 “현재까지 조사 결과는 유출자 진술 내용과 부합하며, 진술과 모순되는 증거는 발견되지 않았다”며 “이번 사태로 인한 고객보상 방안을 조만간 별도로 발표할 예정”이라고 밝혔다.

이번 사고에 대한 포렌식 조사는 맨디언트와 팔로알토네트웍스, 언스트앤영 등 3개 글로벌 보안 기업이 실시했다.

쿠팡의 이번 발표는 정부와 조율되지 않은 것으로 보인다. 과기정통부는 “현재 민관합동조사단에서 정보유출 종류 및 규모, 유출 경위 등에 대해 면밀히 조사 중이며, 쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다”고 밝혔다.

또 민관합동조사단이 조사 중인 사항을 일방적으로 알린 것에 대해 쿠팡에 강력히 항의했다고 밝혔다.

쿠팡은 조사 주체에 대한 질문에 답하지 않았다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>