쿠팡 “개인정보 유출 직원 노트북 등 회수”

“3000명만 저장… 외부 유출 없어”
정부 “조사 중인 사안 일방적 발표

연합뉴스

쿠팡은 대규모 개인정보 유출 사태와 관련해 고객 정보를 빼돌린 전직 직원을 특정하고, 범행에 사용한 노트북과 하드 드라이버 등을 회수했다고 25일 밝혔다. 이 발표는 대통령실이 ‘쿠팡 사태’ 관련 긴급 범정부 관계장관회의를 열기 약 30분 전에 나왔다. 이에 정부는 “조사 중인 사안을 쿠팡이 일방적으로 대외에 알렸다”며 공개적으로 유감을 표했다.

쿠팡은 이날 오후 보도자료를 내고 “포렌식 증거를 통해 유출자를 특정했다. 해당 직원은 고객 정보 접근·저장 행위를 자백했다”고 주장했다. 쿠팡에 따르면 유출자는 재직 당시 탈취한 내부 보안 키를 이용해 약 3300만명의 고객 계정에 접근할 수 있었다. 다만 실제로 개인 저장장치에 보관한 정보는 약 3000개 계정 규모였다고 설명했다.

저장 정보에는 이름·이메일·전화번호·주소·일부 주문정보와 함께 2609개의 공동현관 출입번호가 포함됐다. 다만 결제정보·로그인 정보·개인통관고유부호 등 민감 정보에는 접근하지 못한 것으로 나타났다. 제3자에게 전송된 정황도 확인되지 않았다고 쿠팡은 강조했다. 유출자는 개인용 데스크톱 PC와 맥북에어 노트북을 사용해 공격을 시도했다. 접근한 정보 중 일부를 해당 기기에 저장했다. 유출자는 언론 보도를 접한 뒤 극도의 불안 상태에 빠져 증거 은폐·파기를 시도한 것으로 조사됐다. 쿠팡은 “유출자는 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던졌다”고 밝혔다. 쿠팡은 잠수부를 동원해 하천에서 해당 노트북을 찾았다. 기기 일련번호 역시 유출자의 아이클라우드 계정에 등록된 정보와 일치한 것으로 확인됐다.

쿠팡은 사건 직후 맨디언트·팔로알토 네트웍스·언스트앤영(EY) 등 글로벌 보안업체 3곳에 포렌식 조사를 의뢰했다. 현재까지 확인된 조사 결과는 유출자의 진술과 일치한다고 밝혔다.

과학기술정보통신부는 쿠팡의 발표에 대해 곧바로 “민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다”며 “쿠팡이 주장하는 사항은 합동조사단에 의해 확인되지 않았다”는 입장을 냈다.

이다연 심희정 기자 ida@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지