쿠팡 유출 ‘3367만 계정’ 가족·지인 등 제3자 정보까지 확대 가능성

제3자 정보에 추가 유출까지 반영 땐 피해 규모 커져

쿠팡의 개인정보 유출 피해 규모가 민관합동조사단이 발표한 3367만건보다 늘어날 가능성이 제기되고 있다.

3367만건은 계정 기준에 따라 산정된 것으로, 배송지 정부에 포함된 제3자 개인정보와 추가 유출 신고 등이 반영되지 않았기 때문이다.


10일 과학기술정보통신부 민관합동조사단 발표에 따르면 쿠팡의 ‘내 정보 수정 페이지’에서 이용자 성명과 이메일이 포함된 개인정보 유출 건수는 3367만 3817건이다.

이는 동일 계정의 성명과 이메일을 하나로 묶어 집계한 계정 기준으로, 이 중에서 중복 계정은 없는 것으로 파악됐다.

다만 일부 이용자가 복수 계정을 보유했을 가능성은 있다.

조사단은 공격자가 ‘배송지 목록 페이지’에서 이름·전화번호·배송지주소와 함께 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 1억 4800만여 차례 조회한 사실을 확인했다.

이 수치는 개인정보 유출 ‘건수’가 아니라 조회 횟수다. 동일 이용자 정보가 반복적으로 열람됐을 가능성도 있어 이를 곧바로 ‘1억 4800만건 유출’로 단정 지을 순 없다.

개인정보보호위원회 관계자는 “배송지 목록을 1억 4000만여회 조회한 것이 곧 1억 4000만개의 계정이 유출됐다는 의미는 아니다”라며 “같은 이용자의 정보를 여러 차례 조회했을 가능성도 있어 조회 횟수와 실제 유출 규모는 다를 수 있고 이를 추려내야 하는 상황”이라고 설명했다.

그렇지만 배송지 정보에는 계정 소유자뿐만 아니라 가족이나 지인 등 제3자의 이름·전화번호·주소도 함께 포함될 수 있다는 점에서 피해 범위가 계정 소유주에 국한하지 않고 확대될 가능성이 크다.

예를 들어 이용자들이 가족이나 친구에게 전달할 목적으로 가족·지인의 이름과 전화번호, 배송지 정보를 입력한 경우가 많아 이들의 개인정보까지 피해 범위로 봐야 한다는 것이다.

그밖에 조사단은 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 ‘배송지 목록 수정 페이지’도 5만 474회 조회된 사실도 확인했다.

이용자가 최근 주문 한 상품 목록이 포함된 ‘주문 목록 페이지’는 10만 2682회 조회됐다.

게다가 조사단 발표에는 쿠팡이 추가로 신고한 16만 5000여 계정 관련 유출 건은 포함되지 않았다.

조사단은 개인정보 세부 유출 규모는 개인정보보호위원회에서 확정해야 한다고 설명했다.

개인정보위는 배송지 목록·상품목록 조회 기록 등을 토대로 실제 정보가 열람된 계정 규모와 제3자 정보 포함 여부 등을 종합적으로 분석해 최종 피해 규모를 확정할 방침이다.

개인정보위 관계자는 “조회 기록이 방대하고 실제 유출된 정보를 가려내는 과정이 필요해 규모 산출에 시간이 걸린다”며 “정확한 개인정보 유출 규모는 추가 분석을 거쳐 확정 발표할 예정”이라고 밝혔다.

신진호 기자