쿠팡이 고객 정보를 유출한 전직 직원을 특정해 조사한 결과, 저장해 빼간 개인정보는 3000개에 불과하다고 발표했다. 정보 접근 및 탈취에 사용된 모든 장치와 하드디스크 드라이브를 회수·확보 했으며 외부 전송은 없었다고 했다.
쿠팡은 25일 보도자료를 통해 "고객 정보를 유출한 전 직원을 특정했고, 유출자는 행위 일체를 자백했다"고 밝혔다.
쿠팡은 유출자가 탈취한 보안 키를 사용해 고객 계정 3300만 개의 정보에 접근했으나, 약 3000개 계정 정보만 저장했다고 설명했다. 여기에 이름, 이메일, 전화번호, 주소, 일부 주문정보, 2609개 공동현관 출입 번호가 포함됐다.
유출자는 저장한 정보를 모두 삭제했으며 제3자에게 전송된 데이터는 없는 것으로 조사됐다고 쿠팡은 전했다.
쿠팡은 "범행에 사용된 PC·노트북 등 모든 장치를 회수했다"며 "잠수부들이 벽돌이 담긴 쿠팡 가방에 든 노트북은 하천에서 회수했고, 유출자가 클라우드 계정에 등록한 일련번호와 해당 노트북의 일련번호가 일치하는 것을 확인했다”고 설명했다.
또 "사건 직후 맨디언트, 팔로알토 네트웍스, 언스트앤영(EY) 등 글로벌 보안업체 3곳에 포렌식 조사를 의뢰했고 조사 결과도 진술 내용과 같았다"고 주장했다.
하지만 당국의 수사 대상이 자체 조사를 일방 발표해 논란이 커지고 있다.
과학기술정보통신부는 이날 "민관합동조사단이 조사 중인 사항을 일방적으로 대외에 알린 쿠팡에 강력히 항의했다"고 밝혔다.
과기정통부는 "민관합동조사단이 정보 유출 종류 및 규모, 유출 경위 등을 조사 중"이라며 "쿠팡이 주장하는 내용은 민관합동조사단에 의해 확인되지 않았다"고 반박했다.