쿠팡 전 직원이 무단으로 열람한 개인정보 규모가 정부의 당초 추정치인 3300만 건을 훨씬 웃도는 것으로 드러났다. 특히 배송지 관련 정보 조회 횟수는 1억5000만 건에 달해 파장이 커지고 있다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해사고 민관 합동조사단의 잠정 조사 결과를 발표했다.
조사단은 지난해 11월 29일부터 확보한 웹 접속기록(로그) 25.6TB, 총 6642억 건의 데이터를 분석했다. 그 결과 쿠팡의 ‘내 정보 수정’ 페이지에서 이용자 이름과 이메일 정보 3367만여 건이 유출된 정황이 확인됐다.
이번 조사에는 범행에 사용된 것으로 추정되는 공격자 PC 저장장치 4대와 현재 재직 중인 쿠팡 개발자의 노트북에 대한 포렌식 분석도 포함됐다.
더 심각한 부분은 ‘배송지 목록’ 페이지였다. 조사 결과, 이름·전화번호·주소·비식별화된 공동현관 비밀번호 등이 1억4800만여 회 조회된 것으로 나타났다.
이 과정에서 계정 소유자뿐 아니라 대리 구매·배송에 등록된 가족 및 지인 등 제3자의 개인정보도 다수 포함된 것으로 파악됐다. 이에 따라 실제 피해 대상은 더 확대될 가능성이 제기된다.
다만 이번 잠정 집계에는 쿠팡이 최근 추가로 밝힌 16만5000여 계정 유출 건은 반영되지 않았다.
조사단은 “웹 접속기록을 기반으로 유출 규모를 산정했으며, 정확한 개인정보 유출 규모는 향후 개인정보보호위원회가 최종 확정해 발표할 예정”이라고 밝혔다.
개인정보를 무단 열람·유출한 인물은 중국 국적의 쿠팡 전 직원으로, 재직 당시 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 담당한 개발자였던 것으로 확인됐다.
그는 지난해 1월 쿠팡 서버의 인증 취약점을 발견한 뒤 공격 가능성을 시험했고, 같은 해 4월 14일부터 본격적으로 개인정보를 무단 열람·유출한 것으로 파악됐다.
조사단은 쿠팡 측에 인증키 발급 및 사용 이력 관리 강화, 비정상 접속 행위 탐지 모니터링 강화, 자체 보안 규정 준수 여부에 대한 정기 점검 등을 요구했다.
대규모 개인정보 유출 사태를 둘러싸고 플랫폼 기업의 보안 책임과 정부의 관리·감독 강화 필요성이 다시 한 번 부각되고 있다.