쿠팡은 최근 발생한 개인정보 유출 사태와 관련해 유출자를 특정했으며, 고객 정보 유출에 사용된 모든 장치를 회수했다고 26일 밝혔다. 쿠팡은 “이번 사태로 국민 여러분께 심려와 불편을 끼쳐드린 점에 대해 진심으로 사과드린다”고 했다.

쿠팡에 따르면 내부 조사와 외부 전문기관의 포렌식 분석 결과, 유출자는 전직 직원으로 확인됐다. 해당 인물은 재직 당시 취득한 내부 보안 키를 탈취해 고객 정보에 접근했으며, 관련 행위를 모두 자백한 것으로 전해졌다.

쿠팡은 “유출자가 접근한 고객 계정은 총 3300만 개에 달하지만, 실제로 저장한 정보는 약 3000개 계정에 한정됐다”며 “저장된 정보 역시 언론 보도 이후 모두 삭제된 것으로 확인됐다”고 밝혔다.

저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문 정보가 포함됐으며, 공동현관 출입번호는 2609개로 집계됐다. 다만 결제 정보, 로그인 정보, 개인통관고유번호 등 민감 정보에는 접근하거나 유출된 사실이 없고, 외부로 전송된 데이터도 없다고 쿠팡은 설명했다.

쿠팡은 사건 초기부터 엄격한 조사를 위해 글로벌 사이버 보안 업체인 맨디언트(Mandiant), 팔로알토 네트웍스(Palo Alto Networks), 언스트앤영(EY) 등 3곳에 포렌식 조사를 의뢰했다. 조사 결과는 유출자의 진술과 일치하며, 현재까지 추가 유출 정황은 발견되지 않았다는 설명이다.

유출자는 개인용 데스크톱 PC와 MacBook Air 노트북을 사용해 불법 접근을 시도한 것으로 확인됐다. 해당 장치와 하드 드라이브는 모두 회수돼 확보됐으며, 포렌식 분석 과정에서 공격에 사용된 스크립트도 발견됐다. 유출자는 언론 보도 이후 증거 인멸을 시도하며 MacBook Air 노트북을 파손해 하천에 투기했으나, 잠수부 수색을 통해 회수된 것으로 전해졌다.

쿠팡은 지난 12월 17일부터 유출자의 진술서와 관련 장비를 정부 기관에 제출하며 조사에 협조해 왔고, 현재 진행 중인 정부 조사에도 성실히 임하고 있다고 밝혔다.

쿠팡은 “이번 사태의 책임을 무겁게 인식하고 있으며, 향후 조사 경과에 따라 추가 안내를 지속할 예정”이라며 “고객 보상 방안도 조만간 별도로 발표하겠다”고 했다. 이어 “재발 방지를 위한 모든 조치를 강구하고, 고객 개인정보 보호와 2차 피해 예방에 최선을 다하겠다”고 덧붙였다.

쿠팡은 마지막으로 “이번 일로 불안을 느낀 모든 고객 여러분께 다시 한번 깊이 사과드린다”고 밝혔다.