“이미 다 털렸다” 이름·주소·공동현관 비번까지…쿠팡 배송지 정보 ‘1억 4800만회’ 조회

쿠팡을 이용하는 고객의 이름, 전화번호, 주소 등이 포함된 배송지 목록이 1억회 이상 조회된 것으로 확인됐다. 공동현관 비밀번호가 그대로 노출된 배송목록 수정 페이지도 5만회 이상 노출된 것으로 나타났다.

10일 과학기술정보통신부는 서울정부청사에서 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다. 다만 이번 결과는 침해사고의 원인과 재발방지 대책에 대한 것으로 개인정보 유출에 대한 처벌은 개인정보보호위원회가, 증거물 분석 등 수사는 경찰청에서 진행하고 있다고 밝혔다.


민관합동조사단 조사 결과 3000만개 이상의 고객 계정이 유출된 것으로 확인됐다. 앞서 쿠팡이 자체 조사 결과 유출됐다고 밝힌 4500여개를 훌쩍 넘어서는 규모다.

조사단에 따르면 공격자는 쿠팡에서 정보를 유출했다는 이메일을 지난해 11월 16일, 25일에 각각 두 차례 쿠팡 측에 보냈다. 해당 이메일에는 ‘1억 2000만개 이상의 배송 주소 데이터, 5억 6000만개 이상의 주문 데이터, 3300만개 이상의 이메일 주소 데이터’를 유출했다는 내용이 담겨있었다.

조사단의 조사 결과 공격자는 쿠팡의 내정보 수정 페이지에서 이름과 이메일을, 배송지 목록 페이지에서 이름, 전화번호, 주소, 공동현관 비밀번호 정보 등을 유출한 것으로 확인됐다. 조사단이 확인한 유출 계정은 총 3367만 3817개였다.

유출 계정은 3300만여개지만 공격자가 사용자 계정의 배송지 목록 페이지를 조회한 횟수는 1억 4805만 6502회인 것으로 나타났다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 이름과 전화번호, 배송지 주소 등의 정보도 포함돼 있다. 즉 계정 소유주의 지인 정보까지 유출됐을 가능성이 있다는 의미다.

심지어 공동현관 비밀번호가 암호화돼 있지 않고 그대로 노출된 배송지 목록 수정 페이지도 5474회가 조회됐다. 최근 주문한 상품 목록이 포함된 주문 목록 페이지는 10만 2682회가 조회됐다. 조사단은 정보유출 경로를 분석한 결과 공격자가 로그인 절차를 밟지 않고, 무단 접속해 개인정보를 유출한 것이라고 확인했다.

이에 따라 정부는 쿠팡이 전자 출입증에 대한 탐지 및 차단 체계를 도입하고, 현재 확인된 보안 취약점에 대한 문제개선 방안을 마련하도록 했다. 이달 내 쿠팡으로부터 대책 이행계획을 받고 6~7월에 이행 여부를 점검한다는 계획이다.

정부는 쿠팡이 정보통신망법으로 규정하고 있는 침해사고 인지 후 24시간 내 신고 의무를 위반했다는 점에서 3000만원 이하의 과태료를 부과할 계획이라고 밝혔다. 쿠팡은 정보보호최고책임자(CISO)가 침해사고를 인지한 지난해 11월 17일 오후 4시로부터 만 이틀 이상이 지난 11월 19일 오후 9시 35분에 한국인터넷진흥원(KISA)에 신고한 바 있다.

쿠팡이 정부의 정보 보전 명령의 위반한 건에 대해서는 수사기관에 의뢰한 상태다. 과기정통부는 정보통신망법에 따라 쿠팡에 침해사고 원인 분석을 위해 11월 19일 오후 10시 34분에 자료 보전을 명령했으나, 접속기록의 자동 로그 저장 정책을 그대로 유지해 약 5개월간의 웹 로그 기록이 삭제됐다.

조사단은 웹 접속기록을 기반으로 유출 규모를 산정한 것으로, 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정해 발표할 예정이라고 밝혔다. 유출에 따른 과징금 역시 개보위에서 부과할 예정이다.

하승연 기자