내부 보안 키 탈취해 접근
3000개 계정 정보 저장
제3자 제공 정황은 없어
"재발 방지 위한 방안 강구"
3000개 계정 정보 저장
제3자 제공 정황은 없어
"재발 방지 위한 방안 강구"
|
쿠팡은 25일 "디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다"고 밝혔다.
조사 결과 A씨는 재직 중 취득한 내부 보안 키를 이용해 약 3300만 명 고객 계정의 기본 정보에 접근한 것으로 알려졌다. 이 중 약 3000개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)등을 저장했으며 공동현관 출입번호 유출은 2609건으로 확인됐다.
결제정보, 로그인 관련 정보, 개인통관번호에 대한 접근은 없었던 것으로 파악됐다.
A씨는 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도, 접근한 정보 중 일부를 해당 기기들에 저장했다고 진술했다. 쿠팡은 A씨가 사용한 데스크톱 PC와 관련 하드 드라이브 4개는 모두 회수해 분석을 진행했으며, 이 과정에서 공격에 사용된 스크립트를 발견했다.
쿠팡의 개인정보 유출과 관련한 언론 보도가 시작되자 A씨는 극도의 불안 상태에 빠져 해당 기기를 파손해 인근 하천에 투기하는 등 증거인멸을 시도한 것으로 알려졌다. 잠수부 수색을 통해 회수된 노트북은 벽돌이 담긴 쿠팡 에코백에 담겨 있었으며 기기 일련번호는 유출자의 iCloud 계정에 등록된 것과 일치했다.
쿠팡은 사건 초기부터 글로벌 사이버 보안 업체 3곳에 포렌식 조사를 의뢰했으며, 현재까지 외부 전문기관의 분석 결과도 A씨의 진술과 부합한다고 밝혔다.
쿠팡 측은 "이번 사태로 인한 고객보상 방안을 조만간 별도로 발표할 예정"이라며 "앞으로도 고객들의 소중한 개인정보를 보호하기 위해 최선을 다하겠다"고 밝혔다. 이어 "정부 조사에 적극 협조할 것이며 2차 피해를 예방하는 데 최선을 다하겠다. 재발 방지를 위한 모든 방안을 강구할 것임을 약속드린다"고 덧붙였다.
