|
쿠팡은 이날 글로벌 맨디언트와 팔로알토 네트웍스 등 사이버 보안 회사를 선임해 진행한 포렌식 조사 결과를 발표했다.
이번 조사 결과는 쿠팡 측이 이전에 공개한 내용(접근 계정 수 약 3300만개 등)과 같고, 대만과 관련한 정황이 이번에 새롭게 확인됐다.
쿠팡에 따르면, 전 직원이 무단 접근한 계정 가운데 약 20만 개가 대만 소재 계정으로 확인됐다.
회사에 따르면 전 직원은 대만 계정 중 1개 계정의 데이터를 실제 저장했으며, 대만 1건과 한국 계정을 포함해 저장된 전체 계정 수는 약 3000개다.
무단 접근된 정보는 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 내역 등 기본적인 연락처 및 주문 정보에 한정됐다고 회사 측은 설명했다. 쿠팡 측은 금융 및 결제 데이터, 비밀번호 등 로그인 계정 정보, 정부 발급 ID는 지역과 상관없이 단 한 건도 접근 사례가 없다고 강조했다.
또 한국 계정의 경우 공동현관 출입코드가 포함된 계정은 2609개로 확인됐다고 밝혔다.
쿠팡은 전 직원이 사용한 모든 기기를 회수해 포렌식 분석을 완료했으며, 제3자에 의한 추가 열람이나 외부 유출 정황은 발견되지 않았다고 강조했다. 다크웹·딥웹 등 모니터링 결과 현재까지 데이터 악용 사례도 확인되지 않았다는 설명이다.
대만 계정 관련 사실은 대만 디지털부와 협력 조사 과정에서 확인됐다고 밝혔다. 쿠팡은 해당 부처의 감독 아래 조사가 이뤄졌으며, 고도 민감 정보 유출은 없었다고 강조했다.
쿠팡은 “현재까지 사고로 인한 데이터 악용 혹은 2차 피해가 확인된 사례는 없으나, 당사는 앞으로도 상황을 면밀하게 모니터링하여 새로운 정보가 확인되는 대로 즉시 공유하겠다”면서 “투명한 진실 규명, 쇄신을 위한 각고의 노력을 약속하겠다”고 밝혔다.
◇정부, 쿠팡 개인정보 유출 3367만여 건 확인…전직 직원 침해·로그 삭제 정황 수사 의뢰
한편 과학기술정보통신부 민관합동조사단은 지난 10일 쿠팡 개인정보 유출 사고 조사 결과를 발표하고, 당초 쿠팡이 신고한 4536건을 크게 웃도는 3367만여 건의 이용자 정보 유출이 확인됐다고 밝혔다.
조사단에 따르면 ‘내 정보 수정’ 페이지에서는 성명과 이메일 주소 등 회원정보 3367만여 건이 유출된 것으로 파악됐다. ‘배송지 목록’ 페이지에서는 성명, 전화번호, 주소, 공동현관 비밀번호 등이 포함된 정보가 1억4805만여 회 무단 조회된 것으로 집계됐다. ‘주문 목록’ 페이지에서도 최근 주문 상품 정보가 10만여 회 조회된 것으로 나타났다.
사고 원인은 외부 해킹이 아니라 전직 직원에 의한 정보통신망 침해로 결론 났다. 조사단은 공격자가 재직 당시 관리하던 인증 서명 키를 악용해, 퇴사 후 전자 출입증을 위·변조하고 시스템에 비정상적으로 접속한 것으로 봤다.
조사단은 쿠팡이 전직 직원 저장장치에 남아 있던 자료만을 근거로 유출 규모를 축소해 발표했다는 취지로 문제를 제기했다. 아울러 정부의 자료 보전 명령 이후에도 웹·앱 접속 기록 일부가 삭제된 정황이 확인됐다며 수사기관에 수사를 의뢰한 상태다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
