(사진=연합뉴스)
이에 유출자는 개인 정보 탈취를 위해 사용한 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던졌다고 주장했다. 쿠팡 측은 유출자가 제공한 지도와 설명을 바탕으로 잠수부들을 고용해 이를 찾아냈다고 설명했다.
기기 일련번호 또한 유출자의 아이클라우드 계정에 등록된 일련번호와 정확히 일치해 범행에 사용된 장치로 확인됐다.
쿠팡은 입장문을 통해 “유출자는 3,300만 명 정보에 접근했지만 약 3,000개 계정만 실제로 저장했다”며 “저장한 정보에는 공동 현관 출입번호 2,609개를 비롯해 이름, 이메일, 전화번호, 주소, 일부 주문정보 등이 있고 결제정보·로그인·개인통관고유번호는 없다”고 밝혔다.
또 저장된 고객 정보 중 제3자에게 전송된 데이터도 없고, 유출자가 사태에 대한 언론 보도를 접한 후 저장한 정보를 모두 삭제한 것으로 파악됐다고 덧붙였다.
쿠팡은 사건 초기부터 글로벌 사이버보안 업체 맨디언트, 팔로알토 네트웍스, 언스트앤영에 의뢰해 이러한 내용들을 조사했다고 주장했다. 디지털 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정한 뒤 그가 자백한 내용을 토대로 구체적인 사실을 파악했다고 설명했다.
쿠팡은 “유출자가 고객 정보 접근 및 탈취에 사용한 모든 장치와 하드 드라이브는 검증된 절차에 따라 회수해 안전하게 확보했다”면서 “지난 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 일체 자료를 확보하는 즉시 정부에 제출해 왔다”고 밝혔다. 외부 업체 포렌식 결과에 따르면 데스크톱 PC 한 대와 맥북 에어 노트북 한 대로 정보 유출이 이뤄졌고, 이는 유출자 본인의 진술과도 일치한다는 설명이다.
쿠팡은 해당 PC와 PC에서 사용한 4개 하드 드라이브는 유출자가 제출했고, 이 저장장치에서 해킹에 사용된 스크립트가 발견됐다고 밝혔다.
현재까지의 조사 결과는 유출자의 진술과 부합하는 것으로 나타났다.
다만 개인정보 유출자의 진술 확보 등을 어떤 이유로 경찰이나 민관합동조사단이 아닌 쿠팡이 수행하게 됐는지는 확인되지 않았다.
쿠팡은 이번 사태와 관련한 추가 조사 경과를 지속적으로 안내하고, 고객 보상 방안도 별도로 발표할 계획이다.
쿠팡 관계자는 “고객의 소중한 개인정보 보호를 최우선 가치로 삼고 있다”며 “정부 조사에 적극 협조하는 한편 재발 방지를 위한 모든 대책을 강구해 2차 피해 예방에 최선을 다하겠다”고 밝혔다.
이에 대해 과학기술정보통신부는 사실 확인이 필요하다는 입장을 밝혔다.
과기부는 “민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 쿠팡에 강력히 항의했다”면서, “쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다”고 설명했다.
