쿠팡 전 직원이 유출한 개인정보 규모가 정부 당초 추정치인 3,300만 건을 넘어서고, 배송지 주소 등 조회된 정보는 1억 5,000만 건에 달하는 것으로 파악됐습니다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했습니다.
과기정통부가 지난해 11월 29일부터 남아있는 쿠팡의 웹 접속기록(로그)을 분석한 결과, '내 정보 수정 페이지'에서 이용자 이름과 이메일 등 3,367만여 건이 유출된 것으로 확인됐습니다.
'배송지 목록 페이지'에서는 이름, 전화번호, 배송지 주소, 비식별화된 공동현관 비밀번호가 포함된 개인정보가 1억 4,800만여 차례 조회됐습니다.
여기에는 계정 소유자 외에도 물품을 대신 받은 가족과 친구 등 제3자의 정보도 다수 포함돼 유출 대상자 범위가 확대될 가능성이 있습니다.
조사단은 "웹 접속기록을 기반으로 규모를 산정했으며, 정확한 유출 규모는 향후 개인정보보호위원회에서 확정해 발표할 예정"이라고 밝혔습니다.
2차 범죄 악용 우려가 있는 공동현관 비밀번호는 5만여 건, 최근 주문 상품 목록은 10만여 차례 조회된 것으로 집계됐습니다.
범인으로 지목된 중국인 전 직원은 재직 당시 이용자 인증 시스템 설계를 맡았던 개발자로 파악됐습니다.
그는 지난해 1월 인증 취약점을 발견한 뒤 4월 14일부터 본격적인 무단 유출에 나섰습니다.
지난해 11월 8일까지 자동화된 웹 크롤링 도구로 정보를 수집했으나, 이를 외부 클라우드로 전송했는지 여부는 확인되지 않았습니다.
조사단은 쿠팡 측이 대규모 정보 유출 상황을 인지하지 못했으며, 과거 모의 해킹에서 지적된 '전자 출입증(토큰)' 보안 취약점을 개선하지 않았다고 지적했습니다.
정부는 쿠팡이 사고 인지 후 24시간 이내 신고 규정을 위반한 데 대해 과태료를 부과할 방침입니다.
또한 과기정통부의 자료 보전 명령을 어겨 웹 접속기록 등이 삭제된 경위에 대해서는 수사를 의뢰했습니다.
과기정통부는 쿠팡에 이달 중 재발 방지 이행계획을 제출하도록 하고, 올해 7월까지 이행 결과를 점검할 계획입니다.
댓글
(0)