 |
쿠팡이 하천에서 인양해 회수한 쿠팡 에코백 안에 들어있는 유출자의 노트북. 쿠팡 제공 |
쿠팡이 개인정보 유출 사태와 관련해 포렌식 조사 결과를 토대로 고객 정보를 유출한 전직 직원을 특정하고, 고객 정보 접근 및 탈취에 사용된 모든 장치와 하드디스크 드라이브를 회수·확보했다고 밝혔다. 조사 결과 고객 정보의 외부 전송은 없었던 것으로 파악됐다는 설명이다. 그러나 쿠팡이 수사기관의 공식 결론에 앞서 내부 조사 결과를 공개하면서, 일각에서는 ‘셀프 면죄부’ 논란이 확산되고 있다.
26일 업계에 따르면, 쿠팡은 “최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감한다”며 “디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백, 고객 정보에 접근한 방식을 구체적으로 진술했다”고 밝혔다.
쿠팡에 따르면 지난 14일 회사는 유출자와 1차 대면했고 이를 정부에도 공유했다. 쿠팡은 17일 유출자의 진술서 제출을 시작으로 관련 장치 등 일체 자료를 확보하는 즉시 정부에 제출해 왔다고 설명했다.
쿠팡이 공한 유출자의 진술과 사이버 보안 업체의 조사를 종합하면, 유출자는 탈취한 보안 키를 사용해 3300만 고객 계정의 기본적인 고객 정보에 접근했고, 약 3000개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)를 실제 저장했다. 여기에 포함된 공동현관 출입번호는 2609개였다. 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며 고객 정보 중 제3자에게 전송된 데이터는 없는 것으로 조사됐다.
또 쿠팡은 유출자가 데이터 유출 사실이 보도된 이후 증거 은폐 및 파기를 시도했다고 밝혔다. 실제로 쿠팡은 지난 18일 유출자의 노트북을 하천에서 인양해 정부에 전달했으며, 23일에는 관련 경과를 정리한 보고서를 정부에 제출했다.
쿠팡 측은 “유출자는 맥북 에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던졌다고 진술했다”며 “유출자가 제공한 지도와 설명을 바탕으로 잠수부들이 해당 하천에서 맥북 에어 노트북을 회수했으며, 회수된 기기는 유출자의 진술 그대로 벽돌이 담긴 쿠팡 에코백 안에 들어 있었고, 일련번호 또한 유출자의 아이클라우드 계정에 등록된 일련번호와 정확히 일치했다”고 말했다.
그러나 쿠팡이 유출자의 진술과 내부 조사 결과를 공개한 것을 두고 신뢰성에 대한 의문은 계속되고 있다. 쿠팡이 어떤 방식으로 유출자와 직접 접촉해 진술을 확보했는지, 범행 동기나 탈취한 정보가 제3의 인물 또는 기관에 전달됐을 가능성은 없는지 등에 대해서는 여전히 불투명하다는 지적이다.
이에 대해 과학기술정보통신부는 쿠팡의 발표를 ‘일방적 주장’이라고 선을 그었다. 경찰 역시 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출받아 사실 여부를 조사 중이다.
과학기술정보통신부는 “쿠팡의 개인정보 유출 조사 관련 배포 자료는 민관합동조사단의 확인이 필요한 사항”이라며 “조사단에서 조사 중인 내용을 쿠팡이 일방적으로 대외에 알린 것에 대해 강력히 항의했다”고 밝혔다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.