쿠팡이 자사 전 직원이 고객 정보를 빼돌린 데 썼던 노트북과 하드드라이브(HDD) 등을 수거했다고 밝혔다. 조사 결과 이 정보가 제3자에게 유출된 정황은 없다는 게 쿠팡 측 설명이다. 쿠팡은 해당 직원으로부터 범행 사실을 모두 인정한다는 진술도 확보했다. 그러나 쿠팡이 경찰 발표 등을 건너뛰고 증거를 확보했다고 밝히면서 의문점은 오히려 더 커지고 있다.
25일 쿠팡은 대규모 고객정보 유출 사태를 일으킨 전직 쿠팡 직원을 특정하고 범행 일체와 관련된 진술을 확보했다고 밝혔다. 유출자는 재직 중 취득한 내부 보안 키를 탈취해 이름, 이메일, 전화번호, 주소 등 고객 정보에 접근하고 이를 자신의 노트북으로 전송했다고 진술했다.
쿠팡은 해당 유출자가 3370만 개가 넘는 고객 정보에 접근했고, 이 가운데 실제로 개인 노트북을 통해 빼돌려진 자료는 약 3000명의 정보라고 밝혔다. 여기에는 공동현관 출입번호 2609개 등도 포함됐다. 쿠팡은 유출자의 진술 외에도 독자 포렌식 조사를 통해 범행에 PC 1대, 노트북 1대, HDD 4개가 쓰였다는 사실을 확인했다. 이들 장치에서 유출에 사용된 스크립트도 발견됐다.
쿠팡에 따르면 이 직원은 지난 11월 최초의 유출사태 보도 이후 증거의 은폐·파기를 시도했다고 진술했다. 범행에 쓰인 노트북을 물리적으로 파손한 뒤 국내 한 하천에 버렸고, 쿠팡은 이 진술을 토대로 위치를 특정해 노트북을 수거했다.
쿠팡 관계자는 "해당 직원 단독으로 정보를 유출했으며 노트북으로 전송된 3000개 정보도 외부로 전송된 적은 없었다"며 "현재까지 조사 결과는 유출자의 진술 내용과 모두 부합했다"고 했다.
쿠팡이 해당 유출자의 진술을 확보했다고 밝혔지만 오히려 의문점은 더 늘어나고 있다. 쿠팡이 경찰이나 민관합동조사단과 협력 없이 단독으로 유출자의 진술을 확보하고, 주요 증거까지 수거한 셈이기 때문이다.
쿠팡은 해당 직원의 신병 확보 여부 역시 구체적으로 밝히지 않았다. 쿠팡 대규모 정보유출 사태를 일으킨 이 전 쿠팡 직원은 중국인인 것으로 알려졌으며, 지난 1월 쿠팡 퇴사 이후 중국으로 건너간 것으로 전해졌다. 쿠팡은 노트북을 국내에서 수거했는지, 해외에서 수거했는지도 정확하게 밝히지 않았다.
경찰은 이달 초 해당 직원을 피의자로 특정하고 범행에 사용된 아이피(IP) 주소를 확보해 추적에 나섰다. 국제형사경찰기구(인터폴) 공조 및 사법 공조 절차도 검토한 것으로 전해진다. 그러나 중국 공안이 자국민을 타국으로 인도하는 데 소극적이어서 수사에 큰 진척이 없었을 것이란 게 전문가들의 분석이다.
배태웅 기자 btu104@hankyung.com
뉴스
