서울경찰청 사이버수사과는 25일 언론 공지를 통해 "지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출 받았다"며 "피의자의 실제 작성 여부와 범행에 사용된 증거물 인지 여부 등을 면밀히 분석하고 있다"고 밝혔다.
쿠팡은 이날 최근 발생한 개인정보 유출 사태와 관련해 전직 직원의 단독 범행으로 확인됐으며, 고객 정보가 외부로 유출되거나 제3자에게 전달된 정황은 없다고 입장을 밝혔다.
쿠팡에 따르면 회사 측은 디지털 지문 등 포렌식 증거를 토대로 고객 정보를 유출한 전직 직원을 특정했다. 해당 유출자는 범행을 자백했으며, 고객 정보에 접근한 방식과 저장·삭제 과정 등을 구체적으로 진술했다는 것이 쿠팡 측의 주장이다.
또 쿠팡 측은 유출자가 탈취한 내부 보안 키를 이용해 약 3300만 고객 계정의 기본 정보에 접근했으나, 실제로 저장한 고객 정보는 약 3000개 계정에 불과했다고 밝혔다.
저장된 정보는 이름, 이메일, 전화번호, 주소, 일부 주문 정보였다. 이 중 공동현관 출입번호는 2609개로 확인됐다.
결제 정보, 로그인 정보, 개인통관고유부호 등 민감 정보에는 접근한 사실이 없었으며 고객 정보가 제3자에게 전송된 정황도 발견되지 않았다고 쿠팡은 강조했다.
쿠팡은 유출자가 개인용 데스크톱 PC와 맥북 에어 노트북을 사용해 불법 접근을 시도했으며, 증거 은폐를 위해 맥북 에어 노트북을 물리적으로 파손한 뒤 벽돌을 담은 쿠팡 에코백에 넣어 인근 하천에 투기했다고 진술했다고 밝혔다.
쿠팡은 이번 사태와 관련한 추가 조사 경과를 지속적으로 안내하고, 고객 보상 방안도 별도로 발표할 계획이다.
◎공감언론 뉴시스 citizen@newsis.com, vivid@newsis.com