쿠팡의 모회사 쿠팡Inc는 전직 직원에 의한 개인정보 유출 사건과 관련해 자체 포렌식 분석과 외부 보안 점검 결과를 근거로 “추가 외부 유출이나 2차 피해 정황은 확인되지 않았다”고 밝혔다. 접근 계정 수와 자동 조회 횟수, 실제 저장된 데이터 규모는 구분해야 하며, 결제·금융 정보 등 고도 민감 정보에는 접근 자체가 이뤄지지 않았다는 입장이다.
쿠팡은 10일 입장문을 내고 지난해 전직 직원이 3300만 개 이상 고객 계정이 포함된 데이터에 부적절하게 접근했으며, 자체 제작한 소프트웨어 프로그램으로 약 1억4000만 회의 자동 조회를 수행했다고 밝혔다. 다만 실제로 저장된 정보는 약 3000개 계정 분량에 그쳤다고 설명했다.
회사 측에 따르면 해당 전 직원이 공격에 사용한 기기는 모두 회수됐으며, 확보된 포렌식 증거는 약 3000개 계정의 데이터를 저장한 뒤 삭제했다는 당사자 진술과 일치한다. 회수 장비와 포렌식 자료는 현재 관계 당국이 보관 중이며, 저장 데이터가 남아 있지 않다는 분석 결과도 공유됐다고 밝혔다.
접근 정보 범위에 대해서도 선을 그었다. 쿠팡은 해당 직원이 이름, 이메일 주소, 전화번호, 배송지 주소, 일부 주문 내역, 제한된 수의 공동현관 출입 코드 등에는 접근했지만, 결제 정보, 금융 정보, 사용자 아이디(ID) 및 비밀번호, 정부 발급 신분증 등 고도 민감 정보에는 접근하지 않았다고 밝혔다. 이런 내용은 클라우드 플랫폼 제공 업체 아카마이(Akamai) 보안 로그를 통해 검증됐으며, 관련 자료를 조사 당국에 제출했다고 덧붙였다.
전 직원이 접근한 계정 가운데 공용현관 출입 코드가 포함된 사례는 2609건으로 확인됐다는 게 쿠팡 측 설명이다. 회사는 아카마이 보안 로그와 사용자 데이터 분석을 근거로 이 같은 결과를 도출했으며, 해당 자료를 2025년 12월 23일 개인정보보호위원회와 민관합동조사단에 제출했다고 밝혔다. 반면 민관합동조사단 보고서에는 전 직원이 공용현관 출입 코드 관련 정보를 약 5만 건 조회한 것으로 기재됐다. 이에 대해 쿠팡은 보고서에는 반복 조회까지 포함된 접속 횟수만 반영됐고, 실제 접근 계정 수가 2609건으로 한정된다는 검증 결과는 누락됐다고 반박했다.
2차 피해 가능성에 대해서도 일축했다. 쿠팡은 독립 보안 전문 기업의 분석과 함께 다수의 외부 보안 업체를 통해 다크웹, 딥웹, 텔레그램, 중국 메신저 플랫폼 등을 상시 모니터링한 결과 현재까지 2차 피해와 연결된 유통 정황은 발견되지 않았다고 밝혔다. 관련 모니터링 결과는 주 단위로 점검하고 있으며, 당국에도 지속 공유하고 있다고 설명했다.
쿠팡은 “앞으로 정부의 조사에 전면 협조하고, 추가 피해를 막기 위한 필요한 모든 조치를 취하며, 재발 방지를 위한 보호 체계도 지속적으로 강화해 나갈 것”이라며 “이번 일로 우려를 끼쳐드린 점에 대해 깊은 유감의 뜻을 전하며, 영향을 받으신 모든 분들께 사과드린다”고 말했다.
