쿠팡이 대규모 고객 정보 유출 사태와 관련해 피의자를 특정하고 범행에 사용된 저장 매체와 기기 일체를 확보했다고 밝혔다. 25일 쿠팡은 공식 입장문을 통해 포렌식 증거를 토대로 전직 직원인 유출자를 특정했으며, 해당 인물이 범행 일체를 자백하고 정보 탈취 경로에 대해 구체적으로 진술했다고 전했다. 쿠팡 측은 확보된 자료를 정부 당국에 제출하는 한편, 2차 피해 확산 방지에 주력하고 있다.

조사 결과에 따르면 유출자는 퇴사 전 탈취한 보안 키를 악용해 전체 고객의 약 80%에 달하는 3370만 명의 계정에 접근한 것으로 드러났다. 그러나 실제 유출자가 자신의 장치에 저장한 데이터는 약 3000개 계정 수준인 것으로 파악됐다. 저장된 정보는 이름, 이메일, 전화번호, 주소 등이며, 2609건의 공동현관 출입번호도 포함됐다. 쿠팡은 "결제 정보나 로그인 비밀번호, 개인통관고유부호 등 민감 정보에 대한 접근은 없었으며, 탈취된 데이터가 외부 제3자에게 전송된 정황도 발견되지 않았다"고 강조했다.

유출자는 사건이 언론에 보도되며 수사망이 좁혀오자 증거 인멸을 시도했던 것으로 밝혀졌다. 유출자는 범행에 사용한 노트북을 물리적으로 파손한 뒤, 쿠팡 에코백에 벽돌과 함께 넣어 인근 하천에 투기했다고 진술했다. 쿠팡은 진술을 토대로 전문 잠수부 등을 투입해 수중 수색을 벌인 끝에 해당 노트북을 회수하는 데 성공했다. 회수된 기기의 일련번호는 유출자가 사용하던 기기와 일치하는 것으로 확인됐다.

쿠팡은 이번 사건이 외부 해킹 세력이 아닌 내부 직원의 단독 소행으로 결론지어짐에 따라, 내부 보안 관리에 대한 책임을 통감한다는 입장이다. 쿠팡 관계자는 "유출자가 사용한 모든 하드 드라이브와 장치는 검증된 절차에 따라 안전하게 확보된 상태"라며 "정부 조사에 적극적으로 협조해 사건의 실체를 완벽히 규명하겠다"고 말했다. 아울러 고객들의 불안감을 해소하기 위해 구체적인 고객 보상 방안을 조만간 별도로 발표할 계획이라고 덧붙였다.

이번 사태는 국내 이커머스 업계 사상 최대 규모의 정보 접근 사례라는 점에서 향후 개인정보보호위원회의 조사 결과와 과징금 규모에 관심이 쏠리고 있다. 전문가들은 기업 내부의 보안 키 관리 체계에 심각한 허점이 드러난 만큼, 강력한 재발 방지 대책 마련이 시급하다고 지적하고 있다. 쿠팡은 향후 조사 경과를 투명하게 공개하고 피해 예방을 위한 모니터링 시스템을 강화할 방침이다.