배송지 정보만 '1.4억회' 털렸다…쿠팡, 사상 최대 유출 사고 확인

[이코노믹데일리] 과학기술정보통신부가 쿠팡 침해사고 조사 결과를 발표하며 이번 사고를 국내 전자상거래 플랫폼 사상 최대 규모의 개인정보 유출 사건으로 규정했다. 실제 유출된 계정은 3000만개가 넘었고 배송지 목록 페이지는 1.4억여회 조회된 것으로 확인됐다.

10일 과기정통부는 민관합동조사단 조사 결과를 공개했다. 조사단은 이번 사고가 정보통신망법상 중대한 침해사고에 해당한다고 판단하고 사고 원인 분석과 재발 방지 대책을 마련했다.

이번 쿠팡 개인정보 유출 사고는 지난해 11월 16일 이용자가 개인정보 유출 의심 이메일을 받았다는 신고로 드러났다. 쿠팡은 다음날 침해사고를 인지한 뒤 지난해 11월 19일 한국인터넷진흥원에 4536개 계정 정보 유출을 신고했다. 반면 현장 조사 결과 실제 유출 규모는 3000만개 이상으로 파악됐다.

조사 결과 공격자는 쿠팡의 이용자 인증 체계를 악용해 내정보 수정, 배송지 목록, 주문 목록 페이지 등에 접근해 대규모 정보를 유출한 것으로 확인됐다. 내정보 수정 페이지에서는 성명과 이메일이 포함된 3367만여건의 정보가 유출됐고 배송지 목록 페이지는 1억4800만회 이상 조회돼 성명, 전화번호, 주소, 공동현관 비밀번호 등이 노출된 것으로 나타났다.

또한 주문 목록 페이지를 통해 최근 주문 상품 정보도 유출된 것으로 조사됐다. 배송지 정보에는 계정 소유자 외 가족이나 지인 등 제3자의 개인정보도 다수 포함돼 피해 범위가 더 클 가능성이 제기된다.

개인정보보호위원회는 개인정보보호법 위반 여부와 정확한 유출 규모를 조사 중이며 경찰청도 관련 수사를 진행하고 있다. 과기정통부는 이번 사고를 계기로 대형 플랫폼의 인증 체계와 정보보호 관리 전반을 강화하겠다고 설명했다.