 |
| ▲ 이커머스 1위 업체 쿠팡에서 약 3천400만건에 이르는 대규모 개인정보가 유출된 가운데 4일 서울 시내 한 쿠팡 물류센터에 배송차량이 주차돼 있다. 3일 유통업계에 따르면 온라인상에서는 '쿠팡 사태' 이후 로그인 시도와 스미싱 등 피해를 봤다는 사례가 잇따르고 있다. 2025.12.4 (사진=연합뉴스) |
쿠팡이 최근 불거진 고객 개인정보 유출 사태와 관련해 유출자를 특정하고, 정보 탈취에 사용된 노트북과 하드디스크 등 모든 장치를 회수했다고 밝혔다. 쿠팡은 유출자가 3,300만 개에 달하는 고객 계정 정보에 접근했지만 실제로 저장한 정보는 약 3천 개 계정에 그쳤고, 외부로 전송된 정황은 확인되지 않았다고 설명했다.
쿠팡은 25일 발표한 입장문에서 “디지털 지문 등 포렌식 증거를 통해 고객 정보를 유출한 전직 직원을 특정했다”며 “해당 유출자는 자신의 행위를 자백했고, 고객 정보 접근 방식도 구체적으로 진술했다”고 밝혔다. 쿠팡에 따르면 유출자는 재직 당시 취득한 내부 보안 키를 탈취해 고객의 이름, 이메일, 주소, 전화번호 등 개인정보에 접근했다.
다만 결제 정보, 로그인 정보, 개인통관 고유번호 등 민감 정보에는 접근하지 않은 것으로 조사됐다고 쿠팡은 밝혔다. 유출자는 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 일부 고객 정보를 저장했으며, 저장된 계정 수는 약 3천 개 수준이라는 게 쿠팡의 설명이다.
쿠팡은 “저장된 정보에는 일부 주문 정보와 함께 공동현관 출입번호 2,609개가 포함돼 있었으나, 외부로 전송하지 않았다고 유출자가 진술했다”고 밝혔다. 현재까지의 포렌식 결과 역시 해당 진술과 부합하며, 모순되는 증거는 발견되지 않았다고 덧붙였다.
유출자는 언론 보도가 나온 뒤 증거 은폐를 시도한 정황도 드러났다. 쿠팡에 따르면 유출자는 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 찍힌 에코백에 벽돌과 함께 넣어 인근 하천에 투기했다고 진술했다. 쿠팡은 유출자의 진술을 토대로 잠수부를 투입해 해당 노트북을 회수했으며, 회수된 기기의 일련번호가 유출자의 아이클라우드 계정에 등록된 번호와 일치했다고 밝혔다.
쿠팡은 “이번 사태로 고객 여러분께 큰 우려를 끼친 점에 대해 깊이 사과드린다”며 “향후 수사 진행 상황에 따라 추가 안내를 하고, 고객 보상 방안도 조만간 별도로 발표할 예정”이라고 밝혔다.
다만 유출자가 단독 범행을 저질렀다는 점과 외부 유출이 없었다는 설명은 현재까지 쿠팡 자체 조사 결과에 근거한 것으로, 향후 수사기관의 조사 결과에 따라 사실관계가 달라질 가능성도 남아 있다.
[ⓒ 시사타파NEWS. 무단전재-재배포 금지]
