 ▲ 쿠팡 대규모 개인정보 유출 사태로 논란이 이어지는 4일 서울 시내 한 차고지에 쿠팡 배송 차량이 주차돼 있다. 온라인상에서 비정상 로그인 시도, 해외 결제 승인 알림, 스미싱 문자 수신 등 2차 피해 사례가 잇따르면서 소비자 불안감이 커져 쿠팡 서비스를 중단하거나 계정 ©뉴시스 |
브레이크뉴스 최애리 기자= 쿠팡은 최근 발생한 개인정보 유출 사고와 관련해 “유출자를 특정했으며, 고객 정보 유출에 사용된 모든 장치를 회수했다”고 12일 입장을 밝혔다.
특히 쿠팡 측은 유출자가 약 3천 개 계정의 제한된 고객 정보만 저장했고 해당 정보는 모두 삭제된 상태라면서, 외부로 계정 정보를 추가 전송된 사실은 확인되지 않았다고 강조했다.
쿠팡에 따르면 디지털 지문(digital fingerprints) 등 포렌식 증거를 통해 고객 정보를 유출한 전직 직원을 특정했으며, 해당 인물은 범행 사실을 자백하고 접근 방식과 경위를 구체적으로 진술했다고 설명했다. 유출에 사용된 모든 장치와 저장매체는 확보돼 정부 기관에 제출됐고, 현재 진행 중인 조사에도 성실히 협조하고 있다고 덧붙였다.
조사 결과에 따르면, 유출자는 총 3300만 명의 고객 정보에 접근할 수 있었지만, 실제로 저장한 정보는 약 3천 개 계정에 불과했다. 이 가운데 공동현관 출입번호는 2천609개가 포함돼 있었으며, 결제정보·로그인 정보·개인통관고유번호 등 민감 정보는 접근되지 않은 것으로 조사됐다.
재직 중 취득한 내부 보안 키를 탈취해 이름, 이메일, 주소, 전화번호 등 기본적인 고객 정보에 접근했다. 다만 결제정보나 로그인 정보, 개인통관고유번호에는 접근하지 않은 것으로 확인됐다.
또 일부 고객의 주문 이력과 공동현관 출입번호에 제한적으로 접근했으며, 외부 전문업체 분석 결과 공동현관 출입번호는 2천609개가 확인돼 유출자의 진술과 일치했다.
유출 과정에는 개인용 데스크톱 PC 1대와 MacBook Air 노트북 1대가 사용된 것으로 조사됐다. 포렌식 결과, 쿠팡 시스템에 대한 불법 접근은 이 두 기기를 통해 이뤄졌으며, 데스크톱 PC와 함께 사용된 하드디스크 4개에서는 공격에 활용된 스크립트가 발견됐다.
특히 유출자는 언론 보도 이후 증거 인멸을 시도한 것으로 드러났다. MacBook Air 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 찍힌 에코백에 벽돌을 넣어 하천에 투기했다는 것이다. 수사 당국은 유출자의 진술과 제공된 위치 정보를 토대로 잠수 수색을 벌여 해당 노트북을 회수했으며, 회수된 기기의 일련번호는 유출자의 아이클라우드 계정에 등록된 정보와 일치한 것으로 확인됐다.
쿠팡은 “유출자는 단독 범행을 저질렀으며, 약 3천 개 계정의 제한적인 정보만 개인 기기에 저장했을 뿐 외부 전송은 없었다”고 밝혔다. 또한 “언론 보도 직후 저장된 정보는 모두 삭제됐으며, 현재까지 진술과 배치되는 증거는 발견되지 않았다”고 설명했다.
쿠팡은 향후 정부 조사 진행 상황에 맞춰 추가 내용을 지속적으로 안내할 계획이며, 이번 사태와 관련한 고객 보상 방안도 조만간 별도로 발표할 예정이다.
쿠팡은 “앞으로도 정부 조사에 적극 협조하고, 2차 피해 예방에 최선을 다하겠다”며 “이번 일을 계기로 개인정보 보호 체계를 전면적으로 점검하고 재발 방지 대책을 마련하겠다”고 밝혔다. 이어 “모든 고객께 다시 한번 진심으로 사과드린다”고 덧붙였다.
*아래는 위 기사를 '구글 번역'으로 번역한 영문 기사의 [전문]입니다. '구글번역'은 이해도 높이기를 위해 노력하고 있습니다. 영문 번역에 오류가 있을 수 있음을 전제로 합니다.<*The following is [the full text] of the English article translated by 'Google Translate'. 'Google Translate' is working hard to improve understanding. It is assumed that there may be errors in the English translation.>
Coupang has identified the person responsible for the leak, stating, "There is no evidence of an external leak."
Coupang announced on the 12th that it has identified the individual responsible for the recent personal information leak and has recovered all devices used to leak customer information.
Coupang emphasized that the individual only stored limited customer information for approximately 3,000 accounts, all of which have since been deleted, and that no additional account information has been transmitted externally.
Coupang explained that forensic evidence, including digital fingerprints, has identified the former employee responsible for the leak. The individual has confessed to the crime and provided detailed information regarding their access method and circumstances. All devices and storage media used in the leak have been secured and submitted to government agencies, and the company is cooperating fully with the ongoing investigation.
According to the investigation, the individual had access to 33 million customer accounts, but only stored information for approximately 3,000 accounts. Among these, 2,609 shared entrance access codes were found, and sensitive information such as payment information, login information, and personal customs clearance codes were not accessed.
The attacker stole internal security keys acquired during his employment to access basic customer information such as name, email address, address, and phone number. However, payment information, login information, and personal customs clearance codes were not accessed.
Limited access was also provided to some customers' order history and shared entrance access codes. An external expert firm's analysis confirmed 2,609 shared entrance access codes, consistent with the leaker's account.
The leak involved one personal desktop PC and one MacBook Air laptop. Forensic analysis revealed that these two devices were used to access Coupang's systems, and scripts used in the attack were discovered on four hard drives used with the desktop PC.
Notably, the leaker attempted to destroy evidence following media reports. After physically destroying a MacBook Air laptop, the laptop was placed in a Coupang-branded eco-bag with bricks and dumped into a river. Based on the leaker's statement and the location information provided, investigators conducted an underwater search and recovered the laptop. The serial number of the recovered device matched the information registered to the leaker's iCloud account.
Coupang stated, "The leaker acted alone and only stored limited information from approximately 3,000 accounts on his personal device, without any external transmission." They added, "All stored information was deleted immediately after the media report, and no evidence contradicting the statement has been found to date."
Coupang plans to continue providing additional information as the government investigation progresses, and will soon announce a separate customer compensation plan related to this incident.
Coupang stated, "We will continue to fully cooperate with the government investigation and do our utmost to prevent secondary damage. We will use this incident as an opportunity to comprehensively review our personal information protection system and establish measures to prevent recurrence." He added, “We once again sincerely apologize to all our customers.”
