“전화번호 포함 쿠팡서 털린 배송지 목록 1.5억회 조회”

쿠팡의 개인정보 침해사고 조사 결과 유출된 개인정보가 3300만 건을 넘어서고 이름과 전화번호, 주소 등이 포함된 ‘배송지 목록 페이지’는 무려 약 1억5000만 회나 조회된 것으로 드러났다.

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다. 정부는 25.6TB(테라바이트) 규모의 웹, 애플리케이션 접속기록(로그)을 분석했다. 쿠팡으로부터 제출받은 공격자의 PC 저장장치의 포렌식 분석도 진행했다.

그 결과 이름과 이메일 정보가 포함된 이용자 정보는 3367만3817건이 유출됐음을 확인했다. 유출된 계정은 3367만여 건이지만 공격자는 배송지 목록이 저장돼 있는 ‘배송지 목록 페이지’를 1억4805만6502회나 조회했다. 배송지 목록에는 계정 소유자 외에 가족이나 지인 등 제3자의 주소를 최대 20개까지 저장할 수 있어 개인정보 유출 규모가 당초 예상보다 더 커질 가능성도 점쳐진다. 공동현관 비밀번호도 ‘배송지 목록 수정 페이지’를 통해 이름, 전화번호, 주소와 함께 5만여 차례 조회됐다.

조사단은 민감한 개인정보들이 해외 소재의 클라우드 서버로 전송됐을 가능성도 파악했다. 다만 과기정통부는 실제 전송이 이뤄졌는지까지는 확인하지 못했다.

정부는 정보통신망법상 쿠팡이 침해사고를 인지한 뒤 24시간 내에 신고해야 하는 의무를 지키지 않았다는 점에서 3000만 원 이하의 과태료를 부과할 예정이다. 개인정보 유출에 따른 과징금은 개인정보보호위원회에서 부과한다.


최지원기자 jwchoi@donga.com