쿠팡, 개인정보 유출 전직 직원 특정...“외부 전송 없고 모두 삭제”
2025-12-25 이정민 기자
25일 쿠팡에 따르면 전직 직원인 유출자는 내부 보안 키를 탈취해 약 3300만 명의 고객 계정에 접근했으나 실제로 저장한 정보는 약 3000개 계정에 불과한 것으로 조사됐다.
저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문 정보가 포함됐으며 이 가운데 공동현관 출입번호는 2609개였다. 다만 결제 정보, 로그인 정보, 개인통관고유번호 등 민감 정보에는 접근하지 않은 것으로 확인됐다.
쿠팡은 현재까지 조사 결과 유출된 고객 정보가 외부로 전송되거나 제3자에게 전달된 사실은 없으며 유출자가 언론 보도를 접한 뒤 저장했던 정보는 모두 삭제했다고 설명했다.
이번 사고와 관련해 쿠팡은 디지털 지문 등 포렌식 증거를 활용해 유출자를 특정했으며 유출자는 범행 일체를 자백하고 고객 정보 접근 방식과 범위를 구체적으로 진술했다.
쿠팡은 유출에 사용된 개인용 데스크톱 PC와 노트북 등 모든 장치와 하드 드라이브를 검증된 절차에 따라 회수해 확보했으며 관련 자료를 정부 기관에 제출하고 조사에 성실히 협조하고 있다고 밝혔다.
포렌식 조사 결과 유출자는 개인 데스크톱 PC 1대와 노트북 1대를 이용해 쿠팡 시스템에 불법 접근한 것으로 나타났다. 특히 유출자는 증거 인멸을 시도하기 위해 노트북을 물리적으로 파손한 뒤 쿠팡 로고가 있는 에코백에 벽돌을 넣어 하천에 투기한 것으로 조사됐다.
쿠팡은 유출자의 진술을 토대로 잠수부를 투입해 해당 노트북을 회수했으며 회수된 기기의 일련번호가 유출자의 아이클라우드 계정에 등록된 정보와 일치함을 확인했다.
쿠팡은 사건 초기부터 글로벌 사이버 보안 전문업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 포렌식 조사를 의뢰했으며 현재까지의 조사 결과는 유출자의 진술과 부합한다고 설명했다.
쿠팡은 “정부 조사에 적극 협조하며 2차 피해를 예방하는 데 최선을 다하겠다. 금번 사태를 계기로 재발 방지를 위한 모든 방안을 강구할 것임을 약속드린다”고 밝혔다. 아울러 이번 사태를 계기로 재발 방지 대책을 마련하고 고객 보상 방안도 조만간 별도로 발표할 계획이라고 덧붙였다.
[소비자가만드는신문=이정민 기자]