쿠팡 3367만명 개인정보 ‘탈탈’… 배송지 목록 1억 5000만번 뒤졌다
민관 합동 조사 결과 발표
전화번호·현관비번 빠져나가
반복적으로 배송지 정보 등 조회
웹 접속기록 25.6TB 데이터 분석
중국인 직원 연루 여부 밝히진 않아
“해킹 관련 2차 피해 여부 확인 안 돼”
“입법 미비…과태료 처분만 가능”
지난해 말 불거진 쿠팡의 대규모 해킹 사태로 인한 개인정보 유출 건수가 3000만건을 넘는 것으로 공식 확인됐다. 당초 쿠팡이 홈페이지를 통해 “유출된 개인정보가 3000건”이라고 설명한 건 허위 사실로 판명됐다. 전화번호와 주소 등 민감한 정보가 포함된 ‘배송지 목록’은 약 1억 5000만회가 조회된 것으로 파악됐다.
과학기술정보통신부는 10일 정부서울청사에서 브리핑을 열고 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 과기정통부는 지난해 11월 29일부터 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량, 총 6642억건의 데이터를 분석했다. 조사 대상에는 범행에 사용된 것으로 추정되는 범인의 PC 저장장치 4대가 포함됐으며, 현재 재직 중인 쿠팡 개발자의 노트북도 포렌식 조사를 받았다.
조사 결과 지난해 4월 14일부터 11월 8일까지 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 3367만여건이 유출된 사실이 확인됐다. 사건 초기 개인정보 유출 규모를 3370만건이라고 추정했던 것과 비교하면 유출 규모가 다소 줄었다. 다만 쿠팡이 최근 추가로 밝힌 16만 5000여 계정 유출 건은 이번 조사 결과에 포함되지 않았다.
‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억 4800만여 차례 조회해 정보가 유출된 것으로 나타났다. 이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제3자 정보도 다수 포함돼 있어 정보 유출 대상자 범위 등 피해 규모가 커질 가능성이 있다.
정부는 개인정보 유출자를 ‘내부 퇴직자’라고 공개했다. 다만 중국 국적이라고 거론된 범인의 신상을 공식적으로 발표하지 않았다. 조사단은 중국인 직원 연루 여부에 대해 “경찰이 수사할 영역”이라며 말을 아꼈다.
범인은 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템을 설계하고 개발하는 업무를 담당한 소프트웨어 개발자(백엔드 엔지니어 스태프)로 확인됐다. 개발자로 근무하며 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 이용자 계정에 접속해 정보를 무단 유출한 것이다.
범인은 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 ‘배송지 목록 수정 페이지’는 5만 474회 조회했고, 이용자가 최근 주문한 상품 목록이 포함된 ‘주문 목록 페이지’도 10만 2682회 살펴봤다.
이 범인은 지난해 11월 16일과 25일 두 차례에 걸쳐 한국어가 아닌 영어로 협박 메일을 보낸 것으로 확인됐다. 심지어 ‘내 정보 페이지’, ‘배송지 목록 페이지’, ‘주문 목록 페이지’ 등에서 유출한 정보 일부를 영어 이메일 본문에 기재하기도 했다.
조사단은 유출된 개인정보가 제3자에게 흘러갔는지에 대해선 명확히 밝히지 않았다. 조사 과정에서 범인이 타인 계정으로 무단 접속해 유출 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능을 확인했지만, 실제 전송이 이뤄졌는지에 대해선 기록이 남지 않아 확인할 수 없다고 설명했다.
또 개인정보 유출에 따른 2차 피해는 아직 확인되지 않았다고 밝혔다. 최우혁 과기부 정보보호네트워크정책실장은 “2차 피해에 대한 부분은 현재까지 저희가 확인한 바로는 다크웹 등에서 확인하지 못했다”고 했다.
정부는 입법 미비로 쿠팡에 과징금을 부과할 수 없다는 입장을 내놨다. 최 실장은 “현행 정보통신망법에서는 재발 방지 대책 이행에 대해 적절하지 않고 문제가 있다고 하면 과태료 처분을 하는 조치만 할 수 있다. 현재 국회에서 침해사고에 대해서 과징금을 물릴 수 있도록 입법이 진행 중인데, 입법되면 관련 제도가 만들어질 것”이라고 말했다.
이날 조사단의 발표와 별도로 개인정보보호위원회(개보위)는 개인정보보호법에 따른 개인정보 유출 규모 및 법 위반 여부 등을 조사하고 있다. 향후 개보위에서 세부적인 개인정보 유출 규모를 확정해 발표할 예정이다. 경찰청 역시 별도 수사를 진행 중이다.
세종 조중헌·김우진 기자
ⓒ 트윅, 무단 전재 및 재배포 금지
Q.
기사를 끝까지 읽으셨나요? 이제 AI 퀴즈로 기사의 핵심을 점검해보세요.
쿠팡이 처음 발표한 개인정보 유출 건수는?
