민관합동조사단이 쿠팡 침해 사고 조사 결과를 발표함에 따라 개인정보 유출 규모와 대략적인 범행 수법이 윤곽을 드러내면서 쿠팡의 서투른 대응 조치와 뒤늦은 신고도 고스란히 공개됐다. 그러나 특정 국적 인물로 거론된 범인 신상은 공식 발표되지 않았고, 세부 유출 규모도 개인정보보호위원회가 추후 밝힐 것으로 전망되는 등 미진한 점이 남아 있다는 지적이 제기된다.정부는 개인정보 유출자에 대해 '공격자'와 '범인'이란 표현을 써 가며 '내부 퇴직자'라고 공개했다. 쿠팡 재직 당시 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어(SW) 개발자로, 자신이 관리한 인증 시스템의 서명키를 훔친 뒤 이를 활용해 전자 출입증을 위변조한 것으로 드러났다. 이를 통해 정상적인 로그인 절차를 거치지 않고 퇴사 후에도 쿠팡 서비스에 무단 접속이 가능했다는 설명이다.시스템 장애 등 백업을 위한 이용자 인증 시스템을 잘 파악하고 있었던 만큼 이용자 인증과 키 관리체계의 취약점을 인지한 뒤 정보를 유출한 것으로 정부는 판단했다. 이 범인은 지난해 11월 16일과 25일 두 차례에 걸쳐 한국어가 아닌 영어로 협박 메일을 보낸 것으로 확인됐다. 유출한 정보 일부를 영어 이메일 본문에 기재하는 대범함도 보였다. 이는 범인이 한국인이 아닌 외국인, 더 나아가 지금까지 일각에서 제기된 중국 국적 퇴사 직원이라는 점을 뒷받침하는 정황으로도 풀이될 수 있다.그러나 조사단은 범인의 구체적 신원과 국적을 조사 결과 내용이 담긴 보도자료에 명시하지 않았다. 이에 따라 범인의 신원은 현재 이번 침해사고와 관련된 증거물 분석 등 수사를 진행 중인 경찰이 향후 공개할지 더욱 관심을 끌게 됐다.조사단은 구체적 개인정보 유출 규모는 개보위가 공개할 몫이라고 밝힌 동시에 범인에 대한 특정은 경찰이 수사할 영역이라고 답했다. 조사단은 먼저 쿠팡에서 유출된 정보가 성명·이메일 3367만여건, 배송지 목록 페이지 1억4000만여회 조회 등으로 확인됐다고 전하면서도 세부적인 개인정보 유출 규모는 공개하지 않았다. 개인정보보호위원회에서 확정할 예정이라고 부연했다.이와 함께 조사단은 쿠팡 개인정보 유출에 따른 2차 피해는 아직 확인되지 않았다고 밝혔다. 쿠팡 침해 사고는 "인증체계 관리 소홀의 문제"라며 "지능화된 (외부) 공격으로 보기 어렵다"는 입장도 내놨다. 이번 조사의 초점이 사고 원인 분석과 재발 방지 방안 마련에 맞춰져 있는 것으로 관측되는 대목이다. 조사단은 이번 사고 원인을 정보통신망법 제48조 제4항에 따라 분석하고 유사 사고 재발 방지 대책을 마련했다는 설명도 내놨다.개인정보 보호법 위반 여부도 명확하게 공개되지 않았다. 개보위가 해당 법에 따른 개인정보 유출 규모와 위법 여부 등을 조사하고 있다는 것이다. 사실상 개보위가 구체 유출 규모와 위법성 여부에 관해 최종 결론을 낼 것이란 점을 시사한 것으로 풀이된다.조사단의 이번 결과 발표가 세간의 궁금증을 완전히 해소하지 못할 것으로 보이면서 조사단이 예정보다 서둘러 발표한 게 아니냐는 관측도 나온다. 실제 조사단이 서둘러 발표했다면 그 배경에도 관심이 쏠린다. 업계 일각에서는 이날 조사단 발표가 조만간 있을 미국 의회의 쿠팡 조사와 무관하지 않다는 조심스러운 해석도 나온다.