쿠팡 개인정보 유출 피해규모가 3300만 건을 넘어선다고 정부가 잠정 발표했다. 유출된 개인정보가 조회된 횟수는 1억 4800만 번 이상이었다. 유출된 개인정보가 3000여 건에 불과하다는 쿠팡의 주장을 크게 뛰어넘는 수치다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 발표했다. 이를 보면, 쿠팡의 '내 정보 수정 페이지'에서 성명, 이메일이 포함된 개인정보 3367만 3081건이 유출됐다.
조사단은 또 '배송지 목록 페이지'에서 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보가 1억 4805만 6502회 조회됐다고 밝혔다.
배송지 목록 페이지에는 계정 소유자 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함돼 있어 유출 피해자 수가 늘어날 가능성도 있다. 쿠팡이 지난 5일 신고한 16만 5000여 건 개인정보 유출 건도 이번 조사에는 포함되지 않았다.
2차 범죄 악용 우려가 큰 공동현관 비밀번호가 포함된 '배송지 목록 수정 페이지'는 5만 474회 조회됐다. 이용자의 최근 주문 상품이 담긴 '주문 목록 페이지'는 10만 2682회 조회됐다.
앞서 쿠팡은 지난해 12월 25일 유출자가 "3000개 계정의 제한적인 고객 정보를 개인 데스크톱 PC와 맥북 에어 노트북에만 저장했다"며 피해 계정도 3000여 개라고 주장했다. 이 주장의 진위를 묻는 말에 과기부 관계자는 "그건 참고요소일 뿐"이라며 "저희는 쿠팡 서버를 다 뒤져서 얼마나 조회·유출이 일어났는지 확인하고 말씀드린 것"이라고 답했다.
유출 원인을 설명하며 조사단은 이번 사고가 쿠팡의 인증 취약점을 이용한 전 직원의 범행이라고 밝혔다. 유출자는 재직 당시 관리하던 이용자 인증시스템의 서명키를 탈취한 후 이를 활용해 전자출입증을 위·변조했고, 그 결과 정상적 로그인 없이 쿠팡 서비스에 접속할 수 있게 됐다.
쿠팡 관문서버는 위변조된 전자출입증을 가려내지 못했다. 퇴사 시점에 유출자의 서명키를 사용하지 못하게 하는 갱신 절차도 미비했던 것으로 조사됐다.
사후대처와 관련 쿠팡의 위법사항도 확인됐다. 쿠팡 정보보호 책임자가 개인정보 유출 사실을 보고받은 시점은 지난해 11월 17일 16시였으나, 쿠팡은 법에 규정된 24시간을 넘긴 지난 11월 19일 21시 35분 이를 정부기관에 신고했다.
또 유출사고 신고를 받은 날 과기부는 원인 분석을 위해 쿠팡에 자료보전 명령을 했지만, 쿠팡이 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아 2024년 7월부터 11월 사이의 웹 접속기록이 삭제됐다. 2025년 5월 23일부터 6월 2일 사이의 애플리케이션 접속기록도 삭제됐다.
향후 계획에 대해 과기부는 "조사 결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 제출하게 하고 이행 여부를 점검할 계획"이라고 밝혔다. 정보통신망법에 따라 늑장 보고에 대해 "3000만 원 이하의 과태료"를 부과하고, "자료보전 명령 위반에 관해 수사"를 의뢰할 예정이라고도 했다.
이번 조사를 바탕으로 한 쿠팡 개인정보 유출 규모 확정은 향후 개인정보보호위원회를 통해 이뤄질 예정이다.
한편, 배달 라이더들은 이날 이번 사건과 별도로 2020년 8월부터 2021년 11월까지 약 1년 3개월 간 음식점 포스 기기화면을 통해 약 13만 5000명의 개인정보가 유출된 사건에 대한 집단소송에 나섰다. 유출 정보는 실명, 휴대전화번호, 동선 정보 등이다. 소송인은 67명이다.
이를 밝히며 연 국회 소통관 기자회견에서 구교현 공공운수노조 라이더유니온은 "당시 쿠팡은 앞으로는 절대 이런 일이 재발하지 않도록 모든 조치를 완료했다고 밝혔다"며 "정확히 1년 후에 3300만 건이란 어마어마한 수준의 개인정보가 유출됐다"고 꼬집었다.
이어 "기업이 개인정보 유출 보안 문제에 대해 아무런 대책을 세우지 않았다는 명확한 증거"라며 "그런데도 쿠팡은 돈은 한국에서 벌고, 모든 피해는 한국 사람에게 입혀놓고, 로비는 미국에 가서 하고 있다"고 질타했다.
구 위원장은 "이런 상황을 보며 쿠팡을 이대로 놔둬서는 안 되겠다고 생각했다"며 "배달 라이더들도 우리에게 저지른 위법행위에 대한 쿠팡의 책임을 묻겠다"고 밝혔다.
전체댓글 0