정부 “쿠팡 정보유출 3367만 명”

쿠팡 전 직원이 유출한 이용자 정보가 3300만 건이 넘는 것으로 나타났다. 배송지 목록  페이지도 약 1억5000만 건 가량 조회한 것으로 드러났다. 

과학기술정보통신부는 이같은 내용을 담은 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 10일 발표했다.

조사단은 쿠팡 웹 및 애플리케이션 접속기록 데이터 분석을 통해 내 정보 수정, 배송지 목록, 주문 목록 등 페이지에서 쿠팡 이용자 정보가 유출된 사실을 파악했다. 내 정보 수정 페이지에선 성명, 이메일이 포함된 이용자 정보 3367만3817건이 유출됐다.

쿠팡 전 직원은 또 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지를 1억4805만6502회 조회했다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족과 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 포함돼 있다.

성명과 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만474회 조회했다. 또 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지도 10만2682회 조회했다. 이같은 수치는 웹 접속기록 등을 기반으로 산정했으며, 개인정보 유출 규모에 대해 개인정보보호위원회가 확정 발표할 예정이다.

조사단은 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속힌 것으로 봤다. 또 쿠팡은 위·변조한 ‘전자 출입증’에 대한 검증 체계가 미흡해 이같은 공격을 사전에 탐지·차단하지 못했으며, 공격자가 이용자 인증 관련 시스템 개발자임에도 퇴사 후 서명키를 즉시 갱신하지 않은 채 운영했다고 밝혔다. 정보통신망법상 신고 지연과 자료 보전 명령 위반 등도 확인했다.

과기정통부는 이번 조사결과를 토대로, 쿠팡에 재발방지 대책에 따른 이행계획을 이달 내 제출하도록 하고 이행 여부를 7월까지 점검할 계획이다. 보완이 필요한 사항이 발생하면 시정조치를 명령할 계획이다.

한편, 개인정보보호위원회는 개인정보 유출 규모 및 법 위반 여부 등을 조사 중에 있으며, 경찰청은 증거물 분석 등 수사를 진행하고 있다.


김명근 기자 dionys@donga.com