쿠팡이 최근 발생한 고객 개인정보 유출 사건과 관련해 유출자를 특정하고, 고객 정보 유출에 사용된 모든 장치를 회수했다고 밝혔다.

쿠팡에 따르면 이번 사건의 유출자는 쿠팡 전직 직원으로, 디지털 지문(digital fingerprints) 등 포렌식 증거를 통해 신원이 특정됐다. 유출자는 고객 정보 접근 및 탈취 행위를 모두 자백했으며, 관련 장치와 저장 매체는 검증된 절차에 따라 전량 확보돼 정부 기관에 제출됐다.

현재까지 조사 결과에 따르면 유출자는 탈취한 내부 보안 키를 이용해 약 3300만 명의 고객 계정에 접근했으나, 실제로 저장한 정보는 약 3000개 계정에 한정된 것으로 확인됐다. 저장된 정보는 이름, 이메일, 전화번호, 주소, 일부 주문 정보로, 이 중 공동현관 출입번호는 2609개였다. 결제정보, 로그인 정보, 개인통관고유번호 등 민감 정보는 포함되지 않았으며, 제3자에게 외부 전송된 사실도 없는 것으로 조사됐다.

쿠팡은 "유출자가 언론 보도를 접한 이후 저장했던 고객 정보를 모두 삭제했다는 진술이 포렌식 조사 결과와 부합한다"고 설명했다.

유출자는 개인용 데스크톱 PC와 MacBook Air 노트북을 이용해 불법 접근을 시도했으며, 쿠팡 시스템 접근은 해당 두 기기를 통해 이뤄진 것으로 확인됐다. 데스크톱 PC와 함께 사용된 하드 드라이브 4개에서는 공격에 사용된 스크립트가 발견됐다.

또한 유출자는 증거를 은폐하기 위해 MacBook Air 노트북을 물리적으로 파손한 뒤 벽돌을 넣은 쿠팡 에코백에 담아 인근 하천에 투기한 것으로 조사됐다. 이후 유출자의 진술을 바탕으로 잠수부가 해당 노트북을 회수했으며, 기기 일련번호는 유출자의 아이클라우드 계정에 등록된 정보와 일치한 것으로 확인됐다.

쿠팡은 사건 초기부터 글로벌 사이버 보안 기업 맨디언트, 팔로알토 네트웍스, 언스트앤영(Ernst & Young)에 포렌식 조사를 의뢰해 독립적인 분석을 진행해 왔다. 쿠팡은 현재 진행 중인 정부 조사에도 관련 자료를 제출하며 성실히 협조하고 있다고 밝혔다.

쿠팡은 "이번 개인정보 유출로 고객들에게 큰 우려와 불편을 끼친 점에 대해 진심으로 사과드린다"며 "향후 조사 경과에 따라 추가 안내를 지속하고, 고객 보상 방안도 조만간 별도로 발표할 예정"이라고 밝혔다. 이어 "재발 방지를 위한 모든 방안을 강구하고, 2차 피해 예방에 최선을 다하겠다"고 강조했다.