쿠팡은 25일 개인정보 유출자를 특정하였고, 고객 정보 유출에 사용된 모든 장치가 회수되었음을 확인하였다고 밝혔다.
쿠팡은 이날 공지문을 통해 현재까지 조사에 의하면, 유출자는 약 3,000개 계정의 제한된 고객 정보만 저장했고, 이후 이를 모두 삭제하였다고 말했다.
이와관련 과기정보통신부는 "쿠팡의 개인정보 유출 조사 관련 배포 자료는 민관합동조사단의 확인이 필요한 사항"이라고 선을 그었다.
과기정통부는 민관합동조사단에서 조사 중인 사항을 쿠팡이 일방적으로 대외에 알린 것에 대해 쿠팡에 강력히 항의하였다며 현재 민관합동조사단에서 정보유출 종류 및 규모, 유출경위 등에 대해 면밀히 조사 중에 있는 사항으로, 쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다고 밝혔다.
다음은 쿠팡 공지문.
최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감합니다. 쿠팡 개인정보 유출 사태로 인해 수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드립니다. 이 사태를 책임감 있게 수습하기 위해 정부기관과 쿠팡의 전 구성원들이 함께 최선의 노력을 다했고, 중요한 업데이트 내용을 상세히 설명드립니다.
쿠팡은 디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했습니다. 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했습니다.
유출자가 쿠팡 고객 정보를 접근 및 탈취하는 데 사용된 모든 장치와 하드 드라이브는 검증된 절차에 따라 모두 회수되어 안전하게 확보되었습니다. 쿠팡은 지난 12월 17일 유출자의 진술서 제출을 시작으로, 관련 장치 등 일체 자료를 확보하는 즉시 정부에 제출해 왔습니다. 쿠팡은 현재 진행 중인 정부기관의 관련 조사에도 성실히 협조해 왔습니다.
사건 초기부터, 쿠팡은 엄격한 포렌식 조사를 진행하기 위해서 전세계 최상위 3개 글로벌 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 조사를 의뢰했습니다.
현재까지 조사 결과는 유출자의 진술 내용과 부합합니다. 이에 의하면, 1) 유출자는 탈취한 보안 키를 사용하여 3,300만 고객 계정의 기본적인 고객 정보에 접근했고, 2) 약 3,000개 계정의 고객 정보(이름, 이메일, 전화번호, 주소, 일부 주문정보)만 실제 저장했으며, 3) 여기에 포함된 공동현관 출입번호는 2,609개였고, 4) 사태에 대한 언론보도를 접한 후 저장했던 정보를 모두 삭제했으며, 5) 고객 정보 중 제3자에게 전송된 데이터는 일체 없습니다.
윤구현기자