“쿠팡 유출범, 전화번호 등 배송지 목록 1.5억회 조회”

민관조사단 “정보 3367만건 유출
해외 클라우드 전송 가능성 파악”

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 쿠팡 전 직원에 의한 정보통신망 침해사고 조사결과를 발표하고 있다. 쿠팡 침해사고에 대한 민관합동조사단은 이날 성명·이메일 3367만건 유출, 배송지 목록 페이지 1.4억여 회 조회 등의 유출 규모를 발표했다. 이한결 기자 always@donga.com

쿠팡의 개인정보 침해 사고 조사 결과 유출된 개인정보가 3300만 건을 넘어서고 이름과 전화번호, 주소 등이 포함된 ‘배송지 목록 페이지’는 무려 약 1억5000만 회나 조회된 것으로 드러났다. 배송지 목록에는 가족이나 지인 등 제3자의 주소를 최대 20개까지 저장할 수 있어 정보 유출 규모가 더 커질 가능성도 제기된다.

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동조사단의 조사 결과를 발표했다. 정부는 25.6TB(테라바이트) 규모의 웹, 애플리케이션 접속기록(로그)을 분석했다. 쿠팡으로부터 제출받은 공격자의 PC 저장장치의 포렌식 분석도 진행했다.

그 결과 이름과 이메일 정보가 포함된 이용자 계정 정보 3367만3817건 유출이 확인했다. 유출된 계정은 3367만여 건이지만 ‘배송지 목록 페이지’는 1억4805만6502회나 조회됐다. 공동현관 비밀번호도 ‘배송지 목록 수정 페이지’를 통해 이름, 전화번호, 주소와 함께 5만여 차례 조회됐다.

조사단은 개인정보들이 해외 소재 클라우드 서버로 전송됐을 가능성도 파악했다. 다만 실제 전송이 이뤄졌는지까지는 확인하지 못했다. 정부는 정보통신망법상 쿠팡이 침해 사고를 인지한 뒤 24시간 내 신고해야 하는 의무를 지키지 않았다는 점에서 3000만 원 이하의 과태료를 부과할 예정이다. 개인정보 유출에 따른 과징금은 개인정보보호위원회에서 부과한다.



최지원 기자 jwchoi@donga.com
전혜진 기자 sunrise@donga.com