쿠팡 “개인정보 3000개만 유출…고객보상안 조만간 발표”
경제·산업
입력 2025-12-26 08:10:43
수정 2025-12-26 08:10:43
정창신 기자
0개
[서울경제TV=정창신기자] 쿠팡이 개인정보 유출 사태와 관련해 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정해 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드디스크 드라이브를 모두 회수·확보했으며 외부 전송은 없었던 것으로 조사됐다고 밝혔다.
쿠팡은 지난 25일 참고자료를 통해 “디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”며 이같이 밝혔다.
쿠팡 조사에 따르면 유출자가 쿠팡 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드 드라이브는 검증된 절차에 따라 모두 회수됐다. 쿠팡은 지난 12월 17일 유출자의 진술서 제출을 시작으로, 관련 장치 등 일체 자료를 확보하는 즉시 정부에 제출해 왔다. 쿠팡은 현재 진행 중인 정부기관의 관련 조사에도 성실히 협조해 오고 있다는 입장이다.
사건 초기부터, 쿠팡은 엄격한 포렌식 조사를 진행하기 위해 전세계 최상위 3개 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰했다.
현재까지 조사 결과는 유출자의 진술 내용과 부합한다. 유출자는 탈취한 보안 키를 사용해 3300만 고객 계정의 기본적인 고객 정보에 접근했고, 약 3000개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 실제 저장했으며, 여기에 포함된 공동현관 출입번호는 2609개였고, 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며, 고객 정보 중 제3자에게 전송된 데이터는 없었다.
◇“탈취한 보안키 이용 고객 정보에 접근”
유출자는 재직 중에 취득한 내부 보안 키를 탈취해 이름, 이메일, 주소, 전화번호 등 일부 고객 개인정보에 접근했다고 진술한 것으로 알려졌다. 쿠팡은 데이터 로그 및 포렌식 조사를 통해 해당 접근은 탈취된 내부 보안 키를 이용했고, 접근된 데이터의 유형 또한 유출자가 진술한 범위(이름, 이메일, 주소, 전화번호)에 한정됐음을 확인했다고 설명했다. 결제정보, 로그인 관련 정보, 개인통관번호에 대한 접근도 없었다고 밝혔다.
◇“주문 이력 및 공동현관 출입 정보에 제한적으로 접근”
유출자는 다수 고객의 기본 고객 정보에 접근하는 과정에서 약 3000개의 계정에 대한 주문정보와 공동현관 출입번호에 접근했다고 진술했다. 독립적인 외부 전문업체의 포렌식 분석 결과 2609개의 공동현관 출입번호가 접근된 것으로 확인되며, 이는 유출자의 진술과 부합한다는 게 쿠팡의 설명이다.
◇“유출자는 데스크톱 PC와 맥북에어 노트북 사용해 공격”
유출자는 개인용 데스크톱 PC와 맥북에어(MacBook Air) 노트북을 사용해 공격을 시도했고 접근한 정보 중 일부를 해당 기기에 저장했다고 진술한 것으로 알려졌다. 독립적인 포렌식 조사 결과 쿠팡 시스템에 대한 불법접근은 유출자가 진술한 대로 1대의 PC 시스템과 1대의 애플 시스템을 통해 수행된 것으로 확인됐다는 것. 유출자는 해당 데스크톱 PC와 PC에서 사용된 4개의 하드 드라이브를 제출했으며, 분석 결과 이들 저장장치에서 공격에 사용된 스크립트가 발견됐다.
◇“유출자는 노트북 파기 위해 하천에 투기”
유출자는 언론을 통해 데이터 유출 보도가 나오자 극도의 불안 상태에 빠져 증거의 은폐·파기를 시도했다고 진술한 것으로 알려졌다. 유출자는 맥북에어 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 인근 하천에 던졌다고 진술했다.
유출자가 제공한 지도와 설명을 바탕으로 잠수부들이 해당 하천에서 맥북에어 노트북을 회수했으며, 회수된 기기는 유출자의 진술 그대로 “벽돌이 담긴 쿠팡 에코백” 안에 들어 있었고, 일련번호 또한 유출자의 iCloud 계정에 등록된 일련번호와 정확히 일치했다.
◇“외부 전송 없었고 이후 모두 삭제”
유출자는 단독으로 이를 저질렀으며, 약 3000개 계정의 제한적인 고객 정보만을 저장했고, 해당 고객 정보는 개인 데스크톱 PC와 맥북에어 노트북에만 저장됐으며 외부로 전송된 적은 없다고 진술했다고 쿠팡 측은 설명했다. 또한 언론 보도를 접한 직후 저장돼 있던 고객 정보를 모두 삭제했다고 진술했다. 현재까지 조사 결과는 유출자의 진술 내용과 부합하며, 유출자의 진술과 모순되는 증거가 발견되지 않았다는 게 쿠팡의 조사 결과다.
쿠팡은 “향후 진행될 조사 경과에 따라 지속적으로 안내할 계획”이러며, “이번 사태로 인한 고객보상 방안을 조만간 별도로 발표할 예정”이라고 밝혔다. 또한 “정부 조사에 적극 협조할 것”이라며, “2차 피해를 예방하는 데 최선을 다하겠다”고 덧붙였다. /csjung@sedaily.com
[ⓒ 서울경제TV(www.sentv.co.kr), 무단 전재 및 재배포 금지]
관련뉴스
- 인사이터, 성균관대 AI융합원과 ‘국방 AX 협의체’ 업무협약 체결
- 멕시카나치킨, ‘올해의 우수브랜드 대상 1위’ 수상
- ‘LG 울트라기어 에보’ 첫 선…"모든 영상 5K로 즐긴다"
- 본투윈, 하남 스타필드점 오픈 홀리데이·이클립스 라인 공개
- CGV, ‘아바타: 불과 재’ 4DX·SCREENX 등 기술특별관 흥행 질주
- 네이버, 신규 오픈 커뮤니티 서비스 ‘라운지’ 출시 예고
- 스타벅스, 온라인 플랫폼 29CM서 새해 기획 굿즈 단독 출시
- HDC현대산업개발, 6361억 규모 '인천 굴포천역 도심 공공주택 복합사업' 수주
- 롯데웰푸드, ‘프리미엄 가나’ 앰배서더로 김연아 발탁
- 삼성, 자체 GPU 제작 착수…2027년 ‘엑시노스’ 탑재 전망
주요뉴스
기획/취재
주간 TOP뉴스
- 1인사이터, 성균관대 AI융합원과 ‘국방 AX 협의체’ 업무협약 체결
- 2멕시카나치킨, ‘올해의 우수브랜드 대상 1위’ 수상
- 3‘LG 울트라기어 에보’ 첫 선…"모든 영상 5K로 즐긴다"
- 4본투윈, 하남 스타필드점 오픈 홀리데이·이클립스 라인 공개
- 5샴푸 회사가 AI 데이터센터?…TS트릴리온, 새 주인 행방 ‘오리무중’
- 6부산시 '15분도시 안전한 학교 가는 길' 민관협의체 닻 올라
- 7키움운용, 키움ELB플러스펀드 2호 출시
- 8골드앤에스, 시원스쿨 양수…브랜드 통합 시너지 창출
- 9한국투자증권, 가상자산 거래소 빗썸과 업무협약 체결
- 10CGV, ‘아바타: 불과 재’ 4DX·SCREENX 등 기술특별관 흥행 질주
댓글
(0)