쿠팡이 고객 3370만명의 개인정보를 유출한 전 쿠팡 직원을 특정하고, 해당 범행에 쓰인 노트북과 하드 드라이브 등 장치를 회수했다고 25일 밝혔다. 그러나 정부가 “(쿠팡의) 일방적 주장”이라고 반박하는 등 ‘셀프 조사’란 논란에 휩싸였다.

쿠팡 측은 이날 “디지털 지문(digital fingerprints) 등 포렌식 증거를 활용해 고객 정보를 유출한 전직 직원을 특정했고, 유출자는 행위 일체를 자백하고 고객 정보에 접근한 방식을 구체적으로 진술했다”고 발표했다.

쿠팡에 따르면 쿠팡의 해당 전직 직원은 탈취한 보안 키를 이용해 약 3300만명의 고객 계정에 접근했고, 이 가운데 약 3000개 계정에서 공동현관 출입번호 2609개와 이름·이메일·전화번호·주소·일부 주문 정보 등을 실제 저장했다. 3300만명의 계정에 접근했으나 정보가 유출된 건 약 3000명이란 주장이다.

쿠팡은 “유출자는 재직 중 취득한 내부 보안 키를 탈취해 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 공격을 시도한 뒤 정보 일부를 해당 기기에 저장했다고 진술했다”고 전했다.

25일 서울 중구 쿠팡 물류센터 모습. 뉴스1

유출자는 이후 한국에서 수사가 시작되자 극도의 불안에 빠졌으며, 증거를 은폐하기 위해 범죄에 쓰였던 맥북 에어 노트북 등을 파손한 뒤, 쿠팡 로고가 있는 에코백에 넣고 벽돌을 채워 하천에 내다 버렸다는 게 쿠팡의 설명이다.

쿠팡은 “유출자의 자백을 바탕으로 잠수부들이 범죄에 쓰인 장치를 회수했으며 전문 기업의 포렌식을 거쳤다. 제3자에게 유출된 정보는 없는 것으로 확인했다”고 덧붙였다. 쿠팡은 사건 초기부터 맨디언트ㆍ팔로알토네트웍스ㆍ언스트앤영 등 글로벌 사이버 보안업체에 의뢰해 조사를 진행했다면서 “지난 17일부터 유출자에게 받은 진술서와 개인정보 유출에 쓰인 장치를 순차적으로 정부 기관에 제출했다”고 덧붙였다.

하지만 불안감은 여전하다. 쿠팡은 유출자를 어떻게 접촉해 진술을 확보했는지, 민관합동조사단이 가동 중인데도 어떤 이유로 직접 조사를 수행했는지에 대해선 입장을 밝히지 않았다. 용의자의 범행 동기와 탈취한 정보를 제3의 인물이나 기관에 유출하지 않았는지도 불투명한 상황이다.

25일 서울 시내 한 주차장에 주차된 쿠팡 배달 차량. 연합뉴스

쿠팡 관계자는 “발표한 내용 이외에 확인해줄 수 없다”며 “직원의 국적과 체포 장소, 범인이 사용 후 버린 장치를 버린 하천이 한국인지 중국인지도 공개하기 어렵다”고 말했다.

또 대통령실이 쿠팡 사태 해법을 논의하기 위한 관계부처 장관급 회의를 개최한 날, 회의 종료 전에 쿠팡 단독으로 조사 내용을 발표한 것을 놓고도 논란이 일고 있다. 이와 관련, 쿠팡은 하루라도 빨리 고객 불안을 덜기 위해서였다는 입장인 것으로 전해졌다.

쿠팡의 발표 직후 정부는 쿠팡이 일방적으로 조사 중인 사항을 대외에 알린 것에 대해 강력히 항의했다. 과학기술정보통신부는 이날 입장자료를 내고 “현재 민관합동조사단은 쿠팡의 정보유출 종류 및 규모, 유출 경위 등에 대해 면밀히 조사 중”이라며 “쿠팡이 주장하는 사항은 민관합동조사단에는 확인되지 않았다”고 밝혔다.

쿠팡의 이번 발표와 관련 경찰 측도 사실 여부를 조사 중이란 입장이다. 서울경찰청 사이버수사과는 “쿠팡 측이 주장하는 내용이 사실인지 여부를 철저하게 수사해 확인 중에 있다”며 “지난 12월 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받았다”고 밝혔다.

이어 “피의자의 실제 작성 여부와 범행에 사용된 증거물인지 여부 등을 면밀히 분석하고 있다”며 “이외의 내용은 분석이 진행 중인 상황이라며 구체적인 내용은 밝히기 어렵다”고 덧붙였다.