쿠팡 개인정보 유출 사건 추가 조사 경과와 ‘노트북 회수’ 논란의 핵심 정리

쿠팡 개인정보 유출 사건 추가 조사 경과와 ‘노트북 회수’ 논란의 핵심 정리

이번 개인정보 유출 사태의 후반부 국면에서 가장 주목을 받은 대목은 쿠팡이 유출 행위의 직접 주체로 지목된 전직 직원을 특정하고, 그가 사용한 것으로 판단되는 모든 전자기기와 저장매체를 회수했다고 밝힌 지점입니다. 쿠팡은 디지털 포렌식과 내부 로그 분석, 이른바 디지털 지문 기술을 활용해 특정 계정 접근 패턴을 역추적했고, 그 결과 내부 보안 키를 탈취해 고객 정보에 접근한 전직 직원을 특정했다고 설명했습니다.

이 과정에서 해당 인물이 범행 일체를 자백했으며, 접근 방식과 저장 경로, 사용한 기기까지 비교적 상세하게 진술했다고 밝혔습니다.

접근 규모와 실제 저장 범위에 대한 쿠팡 측 설명

쿠팡의 자체 조사 결과에 따르면 문제의 전직 직원은 탈취한 보안 키를 통해 약 3300만 개에 달하는 고객 계정의 기본 정보에 ‘접근’할 수 있었던 것으로 파악됐습니다. 다만 실제로 개인 기기에 저장된 정보는 약 3000개 계정 분량에 그쳤다는 것이 쿠팡의 공식 설명입니다. 저장된 정보에는 이름, 이메일, 전화번호, 주소, 일부 주문 이력, 그리고 2609개 공동현관 출입 번호가 포함돼 있었던 것으로 전해졌습니다. 쿠팡은 이 정보가 외부 서버나 제3자에게 전송된 흔적은 발견되지 않았으며, 네트워크 로그와 포렌식 분석 결과 외부 반출 정황은 없었다고 강조했습니다.

‘벽돌 담긴 에코백’과 노트북 회수 과정

사건의 신뢰성을 둘러싸고 가장 큰 논란을 낳은 장면은 이른바 ‘벽돌이 담긴 쿠팡 에코백’ 이야기입니다. 쿠팡의 설명에 따르면 유출자는 언론 보도를 접한 뒤 극도의 불안 상태에 빠졌고, 저장돼 있던 고객 정보를 모두 삭제한 뒤 범행에 사용한 맥북 에어 노트북을 물리적으로 파손했다고 진술했습니다. 이후 해당 노트북을 쿠팡 로고가 찍힌 에코백에 벽돌과 함께 넣어 하천에 버렸다는 진술이 나왔고, 쿠팡은 잠수부를 동원해 실제로 해당 하천에서 에코백과 노트북을 발견했다고 밝혔습니다.

회수된 노트북의 일련번호가 유출자의 아이클라우드 계정에 등록된 일련번호와 정확히 일치했다는 점도 함께 공개됐습니다. 다만 하천의 위치가 국내인지 해외인지, 구체적인 장소는 수사와 보안을 이유로 공개되지 않았습니다.

포렌식 결과와 글로벌 보안 업체 참여

쿠팡은 사건 초기부터 글로벌 사이버 보안 기업과 외부 회계·컨설팅 업체를 포함한 다수의 전문 기관에 조사를 의뢰했다고 설명했습니다. 이들 기관의 분석 결과, 유출자가 제출한 데스크톱 PC와 하드디스크 드라이브 4개에서 실제 공격에 사용된 스크립트가 발견됐고, 진술 내용과 기술적 증거가 대체로 일치했다는 점을 강조했습니다. 쿠팡 측은 현재까지 유출자의 진술과 모순되는 포렌식 증거는 발견되지 않았다고 밝혔으며, 확보된 자료는 순차적으로 정부와 수사기관에 제출해 왔다고 덧붙였습니다.

경찰 수사와 ‘자체 조사’의 법적 쟁점

그러나 이 같은 설명과는 별도로, 경찰은 쿠팡이 임의 제출한 노트북과 저장매체에 대해 별도의 포렌식 분석을 진행하고 있습니다. 서울경찰청 사이버수사과는 해당 노트북이 실제 범행에 사용된 기기가 맞는지, 임의 제출 과정에서 데이터 변조나 훼손 가능성은 없었는지 집중적으로 들여다보고 있는 것으로 알려졌습니다.

특히 쿠팡이 경찰이나 민관합동조사단 주도 이전에 자체적으로 유출자와 접촉하고 핵심 증거물을 회수한 점은 향후 법적 논란의 핵심이 될 가능성이 큽니다. 전문가들 사이에서는 기업이 수사기관의 통제 없이 증거물 확보와 분석을 주도한 점이 증거능력 훼손이나 증거인멸 논란으로 이어질 수 있다는 지적도 나오고 있습니다.

정치권·정부 차원의 후속 대응

사건의 파장이 커지면서 국회 과학기술정보방송통신위원회는 관련 청문회를 열었고, 대통령실 차원에서도 관계부처 장관급 회의가 소집되는 등 정부 대응도 본격화되고 있습니다. 쿠팡은 공식 입장을 통해 개인정보 보호에 대한 책임을 통감한다며 사과했고, 향후 조사 결과에 맞춰 고객 보상 방안을 별도로 발표하겠다고 밝혔습니다. 다만 자체 조사 결과와 경찰 수사 결과가 얼마나 일치할지, 그리고 기업의 초기 대응 과정이 법적·사회적으로 어떤 평가를 받게 될지는 아직 불확실한 상태입니다.

김범석 의장 리더십과 연결되는 지점

이번 ‘노트북 회수’와 자체 조사 논란은 단순한 기술적 해명 차원을 넘어, 김범석 의장의 리더십 문제와도 맞닿아 있습니다. 외부로 전송된 데이터가 없었다는 설명이 사실로 확인되더라도, 대규모 개인정보 접근이 가능했던 구조 자체와 사건 초기의 소통 부재, 그리고 기업 주도의 증거 확보 방식은 향후 쿠팡의 신뢰 회복 과정에서 지속적으로 검증받을 사안으로 남을 가능성이 큽니다. 혁신과 성장의 상징이었던 쿠팡이 이번 사태를 통해 어떤 수준의 책임성과 투명성을 보여줄 수 있을지가 향후 기업 가치와 사회적 평가를 좌우할 핵심 변수가 되고 있습니다.