지이코노미 강매화 기자 | 쿠팡 전 직원에 의해 유출된 이용자 개인정보 규모가 3천만 건을 넘어선 것으로 정부 조사에서 확인됐다. 특히 배송지 주소 등 관련 정보 조회 횟수는 1억 건을 훌쩍 넘는 것으로 나타나, 실제 피해 범위가 더욱 확대될 가능성이 제기된다.

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동 조사 결과를 잠정 발표했다. 조사에 따르면 쿠팡 ‘내 정보 수정’ 페이지에서 이용자 이름과 이메일 등 약 3367만 건의 정보가 외부로 유출된 것으로 파악됐다. 이는 동일 계정 기준으로 집계된 수치로, 중복 계정은 포함되지 않았다. 다만 일부 이용자가 복수 계정을 보유했을 가능성은 남아 있다.

또한 ‘배송지 목록’ 페이지에서는 이름, 전화번호, 주소와 함께 특수문자로 비식별 처리된 공동현관 비밀번호가 포함된 정보가 약 1억4800만 차례 조회된 사실이 확인됐다. 해당 수치는 실제 유출 건수가 아니라 조회 횟수이지만, 동일 이용자 정보가 반복 열람됐을 가능성을 고려하더라도 피해 우려는 크다는 평가다. 특히 배송지 정보에는 계정 소유자 외 가족이나 지인 등 제3자의 개인정보가 함께 포함될 수 있어 파장이 확산될 가능성이 있다.

정확한 최종 유출 규모는 향후 개인정보보호위원회가 확정해 발표할 예정이다. 다만 최근 쿠팡이 추가로 공개한 16만5000여 개 계정 유출 사례는 이번 조사 산정치에 포함되지 않은 것으로 전해졌다.

공동현관 비밀번호는 배송지 수정 과정에서 5만여 차례 조회됐고, 최근 주문 상품 목록 역시 별도 페이지에서 약 10만 차례 열람된 것으로 나타났다. 2차 범죄 악용 가능성이 제기되는 이유다.

조사 결과, 개인정보를 빼낸 인물은 중국 국적의 전직 쿠팡 개발자로 확인됐다. 그는 재직 중 이용자 인증 시스템 설계를 담당했으며, 지난해 1월 서버 인증 취약점을 발견한 뒤 같은 해 4월부터 자동화된 웹 크롤링 도구를 활용해 본격적인 정보 수집에 나선 것으로 조사됐다. 무단 접근은 지난해 11월 초까지 이어졌다.

문제는 이러한 대규모 비정상 접근이 발생했음에도 쿠팡이 이를 즉시 인지하지 못했다는 점이다. 과기정통부는 정상 절차를 거치지 않은 전자 출입증(토큰)의 악용 가능성이 사전 모의해킹에서 드러났음에도 적절한 보완이 이뤄지지 않았다고 지적했다.

또한 쿠팡은 침해 사실을 인지한 뒤 법정 신고 기한인 24시간을 넘겨 당국에 보고해 과태료 처분 대상이 됐다. 더불어 정부의 자료 보전 명령에도 따르지 않아 일부 기간의 웹·애플리케이션 접속 기록이 삭제된 정황이 확인되면서 수사 의뢰 조치가 이뤄졌다.

과기정통부는 이번 조사 결과를 토대로 쿠팡에 재발 방지 대책 이행계획을 이달 중 제출하도록 요구했으며, 올해 7월까지 후속 점검을 진행할 방침이다.