전 직원이 수개월간 무단 접근…지인 개인정보까지 포함
24시간 신고 의무 위반 과태료·자료 삭제 수사 의뢰
결제정보 유출·2차 피해 없어…ISMS 인증 일단 유지
쿠팡 전 직원이 유출한 개인정보 규모가 정부가 당초 추정하던 대로 3천300만건을 넘어서고 범인이 들여다본 배송지 주소 등의 정보는 1억5천만건에 달하는 것으로 파악됐다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다.
과기정통부는 지난해 11월 29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6천642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3천367만여 건이 유출된 것을 확인했다.
조사단은 사건 초기 쿠팡 개인정보 유출 규모가 3천370만건이라고 추정했지만 추가 조사 결과 3천367만여 건으로 파악했다.
또 '배송지 목록 페이지'에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억4천800만여 차례 조회해 정보가 유출된 것으로 집계했다.
이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제삼자 정보도 다수 포함돼 있어 정보 유출 대상자 범위가 확대될 가능성이 있다.
조사단은 범인을 중국인이라고 특정해 표현하지는 않았다. 다만, 범인이 이용자 인증 취약점을 악용, 정상적인 로그인 없이 이용자 계정에 접속해 대규모 정보 유출을 했는데도 쿠팡 측이 이를 인지하지 못했다고 지적했다.
또 쿠팡이 정상 발급 절차를 거치지 않은 '전자 출입증(토큰)'이 사이버 공격에 악용될 가능성이 있다는 점을 알고도, 이를 개선하지 않았다고 판단했다.
과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 올해 7월까지 이행 결과를 점검할 계획이다.
