쿠팡 “유출자 특정-범행에 쓰인 장치 회수”
유출 직원, 3370만 계정정보에 접근한 뒤
3000개 계정정보-2609개 공동현관 출입번호 저장
정부 “면밀히 조사중에 일방적으로 대외에 알려
쿠팡이 주장하는 사항, 아직 확인되지 않았다”
쿠팡이 고객 3370만 명의 개인정보를 유출한 전직 직원을 특정하고, 범행에 쓰인 모든 장치를 회수했다는 내용의 ‘셀프 조사’ 결과를 25일 발표했다. 이에 정부는 곧바로 입장문을 내고 “쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다”며 “쿠팡에 강력히 항의했다”고 밝혔다.
쿠팡이 개인정보 유출 사태 이후 카드결제 건수가 급감하는 등 ‘탈팡(탈쿠팡)’ 현상으로 위기에 몰리자 섣부르게 대응에 나섰다가 오히려 거센 비판에 직면했다. 특히 이날 쿠팡 사태와 관련 김용범 대통령정책실장이 주재하는 관계부처 장관급 회의가 예정된 상태에서 미리 쿠팡이 선수를 치려고 제대로 확인되지 않은 내용을 ‘물타기용’으로 발표한 것 아니냐는 지적도 나온다.
쿠팡은 이날 예정에 없던 입장문을 내고 “디지털 지문 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했다”며 “유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”고 밝혔다. 이어 “유출자가 쿠팡 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드 드라이브는 검증된 절차에 따라 모두 회수돼 안전하게 확보됐다”고 했다.
쿠팡은 유출자가 재직 중에 취득한 내부 보안 키를 이용해 3300만 계정의 고객 정보에 접근했다고 밝혔다. 하지만 이 가운데 약 3000개 계정에 대한 이름과 e메일, 전화번호, 주소만 실제 저장했다고 주장했다. 또 외부 전문업체의 포렌식 분석 결과, 2609개의 공동현관 출입번호에 접근된 것으로 확인됐다고 했다. 다만 고객 정보 중 제3자에게 전송된 데이터는 일체 없다고 주장했다. 아울러 결제 정보와 로그인 관련 정보, 개인통관번호에 대한 접근도 없다는 게 쿠팡 설명이다.
쿠팡에 따르면 유출자는 개인용 데스크톱 PC와 맥북에어 노트북을 사용해 공격을 시도했고, 접근한 정보 중 일부를 해당 기기에 저장했다고 진술했다. 쿠팡은 유출자가 사태가 불거진 뒤 저장했던 정보를 모두 삭제한 것으로 나타났다고 밝혔다. 쿠팡은 “유출자는 언론 보도를 접하고 극도 불안 상태에 빠져 증거 은폐·파기를 시도했다고 진술했다”며 “노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던졌다고 진술했다”고 밝혔다. 쿠팡은 잠수부를 동원해 하천에서 해당 노트북을 찾아냈다고 밝혔다.
하지만 이같은 쿠팡의 발표는 민관합동조사단에서 확인되지 않는 내용을 일방적으로 발표한 것이다. 이에 쿠팡의 발표 약 1시간 만에 과학기술정보통신부는 입장문을 내고 “민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의했다”고 밝혔다. 이어 “현재 민관합동조사단에서 정보유출 종류 및 규모 유출경위 등에 대해 면밀히 조사 중에 있는 사항으로 쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다”고 했다.
경찰은 쿠팡 측이 주장하는 내용에 대해 사실 여부를 확인 중에 있다. 서울경찰청 사이버수사과는 같은 날 언론 공지를 통해 “21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받았다”며 “피의자의 실제 작성 여부와 범행에 사용된 증거물인지 여부 등을 면밀히 분석하고 있다”고 밝혔다.
