쿠팡이 크리스마스 휴일인 25일 오후 고객정보 유출 사건 관련 자체 조사 결과를 긴급 발표한 이유는 그 내용이 이번 사태의 '중대 변곡점'이 될 수 있단 판단에서다.
쿠팡은 무엇보다 회사가 보유한 3370만개 고객 계정이 통째로 유출되지 않았단 사실부터 신속하게 알렸다. 이는 관련 '2차 피해' 우려가 확산될 가능성을 선제적으로 차단하려는 조치로 풀이된다.
쿠팡은 사건 발생 직후 자체 조사 결과의 공정성을 확보하기 위해 글로벌 3대 사이버 보안 업체인 맨디언트, 팔로알토 네트웍스, 언스트앤영에 포렌식 조사를 의뢰했다.
실제 정보 유출 규모가 크지 않고, 관련 내용도 우려할 만한 수준이 아니란 점이 주목할 부분이다. 쿠팡에 따르면 개인정보 유출 직원은 탈취한 보안 키를 사용해 3300만개 고객 계정에 접근했지만, 실제로 외부 저장장치에 저장한 내용은 약 3000개 계정뿐이다. 해당 내용도 이름과 이메일, 전화번호, 주소, 일부 주문정보 등 기본 정보와 2609개의 공동현관 출입번호로 파악됐다. 하지만 이렇게 확보한 정보를 제3자 등 외부에 전달한 흔적이 없었으며, 이외에 결제 및 로그인 정보와 개인통관고유번호 등을 유출한 흔적도 없었단게 쿠팡측 설명이다.
이와 관련해 개인정보 유출 직원은 개인용 데스크톱과 맥북 에어 노트북을 사용해 고객 정보에 접근했고 일부 고객 정보를 해당 기기에 저장했다고 진술한 것으로 전해졌다. 쿠팡 관계자는 "포렌식 조사 결과 이 내용이 사실이며 해당 정보를 저장한 하드디스크 드라이브 4개를 확보했다"고 밝혔다.
쿠팡측은 또 이 직원이 정보유출에 대한 언론 보도가 나오자 극도의 불안 상태에 빠져 증거 은폐를 시도했고, 노트북을 파손한 뒤 하천에 던졌단 진술도 확보했다. 실제로 해당 장소를 잠수부들이 수색해 찾은 기기의 일련번호가 그의 아이클라우드(iCloud) 계정에 등록된 일련번호와 정확히 일치했다고 쿠팡측은 강조했다.
쿠팡 관계자는 "현재까지 조사 결과는 유출자의 진술 내용과 부합한다"며 "유출자의 진술과 모순되는 증거가 발견되지 않았다"는 점을 재확인했다.
쿠팡은 이번 조사 결과와 관련 증거 자료를 정부 합동조사단에 제출해 추가 검증받기로 했다. 아울러 사건 조사 경과를 고객들에게 지속적으로 안내하고, 조만간 고객 보상 방안도 발표할 예정이다.
다만 정부는 쿠팡의 조사 결과에 대한 검증이 필요하단 입장이다. 과학기술정보통신부는 이날 "민관합동조사단에서 조사 중인 사항을 일방적으로 대외에 알린 것에 대해 강력히 항의했다"며 "쿠팡이 주장하는 사항은 민관합동조사단에 의해 확인되지 않았다"고 선을 그었다.
한편 경찰은 앞서 대규모 개인정보 유출 사태와 관련해 피의자 진술서와 노트북 등 자료를 쿠팡으로부터 임의제출 받아 분석하고 있다. 특히 쿠팡측이 주장하는 내용이 사실인지 여부를 철저하게 수사해 확인하겠단 방침이다.