‘쿠팡 정보유출’ 민관조사 결과 발표 지인 배송지 최대 20개까지 저장 가능… 비회원 이름-주소 등 추가 유출 우려 “지능형 범죄 아닌 관리 소홀 문제”… 쿠팡 “현관비번 2609건만 유출” 반박
10일 오후 서울 종로구 정부서울청사에서 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 쿠팡 전 직원에 의한 정보통신망 침해사고 조사결과를 발표하고 있다. 노트북 화면에는 유출된 주문상품 정보가 띄워져 있다. 이한결 기자 always@donga.com
● 배송지·현관 비번·주문 목록까지 민감 정보 유출
과학기술정보통신부 쿠팡 민관합동조사단은 10일 정부서울청사에서 쿠팡 개인정보 유출 사태의 정보 유출 규모와 유출 경로를 발표했다. 조사단은 지난해 4월부터 11월까지 쿠팡 웹사이트와 애플리케이션 접속기록(로그), 침해사고의 공격자로 추정되는 전 쿠팡 개발자 A 씨의 PC 저장장치를 포렌식 분석했다.
광고 로드중
1억 건이 넘는 배송지 목록 조회 등을 두고 쿠팡 관계자는 “공격자의 페이지 조회는 3370여만 개 계정에 대한 개별 개인정보를 수집하려는 시도의 결과”라며 “조회수가 정보 유출 항목 건수를 의미하는 것은 아니다”라고 해명했다. 또 “약 3000개 계정의 데이터만을 저장한 뒤 이를 삭제했고, 접근한 계정 정보 중 공용현관 출입 코드가 포함된 사례는 2609건”이라고 덧붙였다. 반면 과기정통부는 “공격자가 3370만 개 계정에 포함되지 않는 사용자의 배송자 목록 페이지를 본 경우도 있었다”며 “타인에 의해 정보가 조회된 순간 유출이라고 봐야 한다”는 입장이다. 다만 정확한 정보 유출 건수는 향후 개인정보보호위원회가 발표할 계획이라고 밝혔다.
● 해외 서버 유출 가능성도 있어
조사단은 이 같은 대형 해킹이 지능화된 범죄라기보다는 “관리 소홀의 문제”라고 강하게 질타했다. 실제로 이번 사고는 공격자가 쿠팡의 사용자 인증 체계의 취약점을 노려 공격하면서 발생했다.
광고 로드중
이처럼 정부가 쿠팡의 보안 관리가 미흡했다는 점을 명확히 지적했지만 현재 정보통신망법상 쿠팡에 부과할 수 있는 과태료는 쿠팡이 침해사고 인지 후 24시간 내 신고해야 한다는 의무를 위반한 데 따른 3000만 원 이하가 전부다. 개인정보 유출에 따른 과징금은 향후 개보위에서 부과한다. 김 교수는 “기업이 비협조적이거나 증거를 은폐할 경우 민관합동조사단의 조사 권한을 강화하거나 과태료를 더 높이는 정보통신망법 개정이 시급하다”고 했다.
최지원 기자 jwchoi@donga.com
전혜진 기자 sunrise@donga.com
남혜정 기자 namduck2@donga.com