▲서울의 한 쿠팡 캠프 모습. 사진=연합
대규모 고객정보가 유출된 쿠팡 사태가 발생한 지 두 달을 넘겼지만 좀처럼 진정될 기미가 보이지 않고 있다. 쿠팡 전 직원이 유출한 개인정보 규모가 3300만 건을 넘었다는 공식 조사 결과가 발표된 가운데, 유출 규모·피해 범위 등을 둘러싸고 피해 축소에 급급했다는 여론 비판을 피하기 어려울 전망이다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다. 조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐고 현재 재직 중인 쿠팡 개발자 노트북도 포렌식 조사했다.
과기정통부가 지난해 11월 29일부터 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량인 총 6642억건을 분석한 결과, '내 정보 수정 페이지'에서 이용자 이름·이메일 3367만여 건이 유출된 것으로 나타났다. 다만, 조사 결과에는 쿠팡이 최근 추가로 유출됐다고 밝힌 16만5000계정 건은 포함되지 않았다.
이번 조사 결과는 지난해 말 쿠팡이 자체 조사를 통해 발표한 개인정보 유출 규모(3000건) 대비 1만배 정도 차이가 나는 수치다. 앞서 쿠팡은 전직 직원이 3300만개의 고객 정보에 접근했으나 실제로 저장한 계정 수는 3000개에 불과하고, 외부 전송도 없었다고 밝혔다.
특히, 정부와 미묘한 기싸움까지 벌이면서 당시 '글로벌 최상위 보안업체의 조사 결과'라는 조사의 신뢰성을 강조했지만, 지난 5일 16만5000여개의 고객 개인정보가 추가 유출 됐다고 공지하면서 신빙성이 떨어진다는 평가가 뒤따랐다.
전직 직원이 이름·전화번호·배송지 주소 등이 포함된 배송지 목록 페이지를 1억 회 이상 조회한 것으로 드러났다. 공동현관 비밀번포가 노출된 배송목록 수정 페이지까지 5만 회 이상 노출된 것으로 확인되면서 실제 정보 유출 규모가 이보다 클 것이라는 관측도 나온다.
조사 결과에 따르면, 범인인 전직 직원은 시스템 인증 설계를 맡았던 개발자였다. 그는 지난해 1월부터 취약점을 발견해 시험한 뒤, 4월부터 11월까지 자동화된 웹 크롤링 도구로 개인정보를 수집했다. 정부는 6개월 이상 정보 유출이 지속됐으나, 쿠팡이 이를 인지하지 못했다고 지적했다.
정부는 사후 대응과정에서도 쿠팡 측의 부실 대처를 꼬집었다. 쿠팡 측은 사이버 침해사고를 인지한 이후 24시간 내 신고해야 하는 의무를 위반하고 만 이틀 이상이 지나서야 당국에 신고했다. 이와 관련해 정부는 과태료를 부과한다는 계획이다.
자료 보전 문제에 대한 문제 제기도 나왔다. 과기정통부는 지난해 11월 19일 사고 원인 분석을 위해 자료 보전을 명령했지만, 쿠팡은 이를 따르지 않았다. 이에 2024년 7월부터 5개월 분량의 웹 접속 기록이 삭제되고, 지난해 5월 23일~6월 2일 앱 접속 기록이 사라진 데 대해수사를 의뢰했다.
아울러 조사단 측은 쿠팡에 인증키 발급과 사용 이력 관리, 비정상 접속행위 탐지 모니터링을 강화할 것을 요구했다. 또, 보안규정 준수 여부에 대한 정기 점검을 실시하도록 했다.
과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중 제출하게 하고, 오는 7월까지 이행 결과를 점검할 계획이다.
조사단은 “웹 접속기록 등을 기반으로 유출 규모를 산정했고, 정확한 개인정보 유출 규모에 대해선 향후 개인정보보호위원회에서 확정해 발표할 예정"이라고 말했다.
![[카드사 풍향계] 우리카드, 日 여행객에 호텔 최대 40% 할인 제공 外](http://www.ekn.kr/mnt/thum/202602/news-p.v1.20260210.f1aa1b840a5643c49cf07487df02fbd4_T1.png)
![[은행권 풍향계] 하나은행, 충청권 미래전략산업 육성 위해 기보와 ‘맞손’ 外](http://www.ekn.kr/mnt/thum/202602/news-p.v1.20260210.24153ad94c73407d9395f7b0bddf42ba_T1.png)
;){kind=link}