25일 쿠팡의 발표와 조사 결과를 토대로, 이번 개인정보 유출 사태를 시간 흐름에 따라 재구성했다.
이번 정보 유출 사태는 전직 직원 A씨의 단독 소행으로 밝혀졌다. A씨는 재직 당시 취득한 내부 보안 키를 이용해 퇴사 후 쿠팡 시스템에 무단 접속했다.
그가 접근 권한을 가졌던 정보는 약 3370만건에 달했으나 실제 범행 도구인 개인 PC와 맥북 에어에 저장한 정보는 약 3000개 계정 수준이었다. 저장된 정보에는 고객의 이름, 주소, 연락처와 2609개의 공동현관 비밀번호가 포함됐다. 민감한 결제 정보나 개인통관고유번호 등은 제외됐다.
범행은 언론 보도 자신의 범행이 한국내에서 대대적으로 보도되자 압박감을 느끼고 이를 은폐하기로 결심했다. A씨는 보관 중이던 데이터를 모두 삭제하고 노트북을 파손했다. 이어 쿠팡 로고가 새겨진 에코백에 벽돌을 채워 노트북과 함께 인근 하천에 투기하며 완전범죄를 시도했다.
그러나 쿠팡은 '디지털 지문' 추적을 통해 A씨를 유출자로 특정하고 자백을 받아냈다. 이어 전문 잠수부를 동원해 하천 바닥을 수색한 끝에 A씨가 버린 노트북 가방을 회수하는 데 성공했다.
쿠팡 측은 "회수된 기기를 정밀 분석한 결과, A씨가 탈취한 정보를 제3자에게 전송하거나 외부로 유출한 흔적은 발견되지 않았다"며 "현재 해당 정보는 모두 폐기된 상태"라고 밝혔다.
쿠팡 측은 "유출된 정보는 전량 회수 및 폐기됐으며 2차 피해 가능성은 없다"고 결론 내렸다. 쿠팡은 조만간 전체 고객을 대상으로 한 구체적인 보상안을 발표할 예정이다.
쿠팡은 "최근 발생한 개인정보 유출이 고객들에게 얼마나 큰 우려를 불러일으켰는지 책임을 통감한다"며 "쿠팡 개인정보 유출 사태로 인해 수많은 국민들이 걱정과 불편을 겪게 된 것에 대해 진심으로 사과드린다"고 전했다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>