|
이날 쿠팡은 지난 17일 유출자의 진술서 제출을 시작으로, 관련 장치와 자료를 확보하는 즉시 정부에 제출해 왔으며, 현재 진행 중인 관계기관 조사에도 성실히 협조하고 있다고 밝혔다.
쿠팡은 사건 인지 즉시 글로벌 상위 3대 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰했다. 현재까지의 조사 결과는 유출자의 진술 내용과 일치하는 것으로 나타났다. 조사 결과에 따르면 유출자는 탈취한 내부 보안 키를 이용해 약 3370만명 고객 계정의 기본 정보에 접근했지만, 실제로 저장한 고객 정보는 약 3000개 계정이었다. 저장된 정보는 이름, 이메일, 전화번호, 주소, 일부 주문정보로 한정됐고, 결제 정보나 로그인 정보, 개인통관번호에는 접근하지 않은 것으로 확인됐다.
이 가운데 공동현관 출입번호가 포함된 계정은 2609개로 파악됐다. 외부 전문업체의 독립적인 포렌식 분석 결과 역시 이 수치는 유출자의 진술과 부합했다.
유출자는 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 불법 접근을 시도했고, 접근한 일부 정보를 해당 기기에 저장했다고 진술했다. 포렌식 조사 결과 쿠팡 시스템에 대한 불법 접근은 1대의 PC와 1대의 애플 노트북을 통해 이뤄진 것으로 확인됐다. 유출자가 제출한 데스크톱 PC와 해당 PC에 연결된 4개의 하드 드라이브에서는 공격에 사용된 스크립트가 발견됐다.
맥북 에어 노트북의 경우 유출자가 증거 인멸을 시도하며 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌을 넣어 인근 하천에 투기한 것으로 조사됐다. 유출자가 제공한 위치 정보와 설명을 토대로 잠수부가 해당 하천에서 노트북을 회수했고, 회수된 기기는 벽돌이 담긴 쿠팡 에코백 안에 있었다. 일련번호도 유출자의 아이클라우드 계정에 등록된 정보와 일치했다.
쿠팡은 유출자가 단독으로 범행을 저질렀고, 저장된 고객 정보는 개인 데스크톱 PC와 맥북 에어 노트북에만 존재했으며 제3자에게 전송된 사실은 없다고 밝혔다. 또 유출자는 언론 보도를 접한 직후 저장된 정보를 모두 삭제했다고 진술했고, 현재까지 이를 반박하는 증거는 발견되지 않았다고 설명했다.
쿠팡은 향후 조사 결과에 따라 추가로 안내할 예정이며, 이번 사태로 인한 고객 보상 방안도 조만간 별도로 발표할 계획이라고 밝혔다. 정부 조사에 적극 협조하고 2차 피해 예방과 재발 방지를 위한 모든 조치를 강구하겠다는 입장도 내놨다.
쿠팡은 이번 사태로 불편과 우려를 끼친 고객들에게 다시 한번 사과의 뜻을 전하며, 개인정보 보호 강화를 위해 최선을 다하겠다고 강조했다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
