쿠팡 “유출 3천명뿐” 자체조사 발표…경찰 “진술·증거물 사실 확인 중”

3,370만 명 개인정보 유출 사태와 관련해 쿠팡이 전직 직원의 범행 자백과 저장 계정이 3천 명 수준이라는 자체 조사 결과를 발표한 것에 경찰이 해당 진술과 증거물의 진위 여부를 공식 확인 중이라고 밝혔다. 정부와 대통령실까지 대응에 나선 가운데 쿠팡의 발표를 둘러싼 의문과 검증 과정이 향후 수사의 핵심이 될 전망이다.

서울경찰청 사이버수사과는 25일 언론 공지를 통해 “지난 21일 쿠팡 측으로부터 피의자가 작성했다는 진술서와 범행에 사용됐다는 노트북 등 증거물을 임의제출받았다”며 현재 실제 피의자가 작성한 것인지, 범행에 사용된 증거물인지 여부를 분석 중이라고 밝혔다.

경찰은 유출자 행방 추적과 함께 쿠팡 내부 관리시스템 문제 여부를 병행 확인하고 있으며, 지금까지 6차례 압수수색을 통해 디지털 자료 등 전자정보를 확보해 분석 중이다.

앞서 쿠팡은 같은 날 보도자료를 통해 “고객 정보를 유출한 전직 직원을 특정했고 유출자는 행위 일체를 자백했다”고 발표했다.

쿠팡에 따르면 유출자는 탈취한 보안 키로 3천300만 개 계정의 기본 정보 접근은 가능했지만, 실제 저장한 정보는 약 3천개 계정 수준이라고 주장했다. 쿠팡은 또한 관련 장비와 하드디스크 전량 회수, 외부 전송 정황 없음, 저장 정보 삭제 등을 자체 조사 결과로 제시했다.

쿠팡은 사건 초기부터 맨디언트, 팔로알토 네트웍스, 언스트앤영 등 글로벌 사이버 보안 업체 3곳에 조사를 의뢰했다고 설명했다. 또한 유출자가 사용했다는 개인 PC와 맥북, 하드 드라이브 4개를 제출받았으며, 저장 장치에서 공격 스크립트가 확인됐다고 주장했다.

특히 유출자가 맥북을 부순 뒤 쿠팡 로고 에코백에 넣고 벽돌을 채운 뒤 인근 하천에 버렸고, 쿠팡이 잠수부를 투입해 이를 회수했다는 내용까지 공개했지만 해당 장소와 확보 과정 등 구체 내용은 밝히지 않았다.

다만 정부와 수사당국은 쿠팡의 설명에 대해 신중한 입장이다. 정부는 “확인되지 않은 주장”이라고 선을 긋고 민관합동조사단 조사 및 경찰 수사를 통해 사실 여부를 확인하겠다는 방침을 유지하고 있다.

이번 발표는 대통령실이 긴급회의를 연 당일 나왔다. 김용범 대통령실 정책실장이 주재한 회의에는 부총리 겸 과학기술정보통신부 장관, 공정거래위원장, 개인정보보호위원장, 방송미디어통신위원장, 금융위원장 등 주요 관계 부처와 외교·안보·경제 관련 고위 인사들이 참석해 진행 상황과 2차 피해 예방 대책을 논의했다. 정부는 과기정통부 2차관이 팀장으로 운영 중인 TF를 부총리 주재 범부처 체제로 확대하기로 했다.

경찰과 민관합동조사단의 포렌식 결과가 확인되기 전까지 쿠팡의 주장에 대한 현실적 검증은 지속될 전망이다. 특히 자백 진술서의 진위, 증거 장비의 실제 사용 여부, 국내외 조사 이동 경로, 실제 저장·삭제 범위, 외부 반출 여부 등이 수사의 핵심 쟁점으로 떠오르고 있다.