[헤럴드경제=박혜림 기자] 쿠팡의 개인정보 유출 사고를 둘러싼 피해 규모 논란이 지속된 가운데, 정부가 3300만 건 이상의 정보가 유출됐다는 조사 결과를 내놨다. 그간 쿠팡의 자체 조사로 인해 수천 건에서 수십만 건으로 번복되던 수치가 이번 발표를 통해 공식화된 것이다.

과학기술정보통신부는 쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과를 10일 발표하고 이번 사고로 유출된 정보가 ‘내정보 수정 페이지’ 내 성명과 이메일 주소 등 총 3367만여 건에 달한다고 밝혔다.

이는 쿠팡이 자체 조사를 통해 밝힌 3000건은 물론, 사고 초기 주장했던 4500여건과 상당한 격차를 보인다. 지난해 11월 발생한 유출 사고 이후 민관합동조사단이 쿠팡의 이용자 인증 체계와 접속 기록 등을 분석한 결과다.

 

조사 결과 공격자는 쿠팡의 전직 개발자로, 재직 당시 탈취한 ‘서명키’를 활용해 전자 출입증을 위조하는 방식으로 내부망에 무단 접속했다. 쿠팡은 서명키를 보안 시스템이 아닌 개발자 노트북에 저장(하드코딩)해뒀고 해당 직원이 퇴사한 후에도 이를 갱신하지 않고 방치하는 등 관리 부실이 심각했던 것으로 드러났다.

유출 범위는 성명과 이메일에 그치지 않았다. 배송지 목록 페이지는 약 1억4000만여회 조회됐고 여기에는 성명, 전화번호, 주소 등이 포함됐다. 특히 쿠팡 측이 그간 유출 가능성을 부인해온 ‘공동현관 비밀번호’가 포함된 페이지 역시 5만여 회 이상 조회된 사실이 정부 조사로 밝혀졌다. 최근 주문 상품 목록이 담긴 주문목록 페이지도 10만여 회 조회된 것으로 확인됐다.

 

앞서 쿠팡은 개보위의 권고에 따라 정보가 유출된 고객들에게 “결제 및 로그인 정보, 공동현관 비밀번호, 이메일, 주문목록은 유출되지 않았음을 확인했다”고 안내했다.

사고 직후 4536건이라고 신고했던 쿠팡은 이후 자체 조사를 근거로 실제 유출 건수가 3000건에 불과하다고 주장했다. 그러나 사태 발생 두 달이 지난 지난 5일에는 다시 16만5000여 건의 추가 유출을 확인했다고 밝히는 등 오락가락 행보를 보였다. 이번 정부 발표는 이러한 쿠팡의 자체 조사 결과가 실제 피해 규모와는 큰 괴리가 있었음을 공식적으로 확인해준 셈이다.

 

정부는 조사 과정에서 드러난 쿠팡의 조직적 대응 부실에 대해서도 법적 조치를 예고했다. 쿠팡은 침해 사고를 인지한 지 약 50시간이 지나서야 신고해 ‘24시간 이내 신고’ 규정을 위반했다. 또 과기정통부의 자료보전 명령에도 불구하고 웹 및 애플리케이션 접속 기록(로그)을 삭제해 사고 원인 분석을 방해한 사실이 드러났다.

이에 따라 과기정통부는 신고 지연에 대해 3000만 원 이하의 과태료를 부과할 예정이다. 자료보전 명령 위반 혐의에 대해서는 수사기관에 수사를 의뢰했다. 

 

https://n.news.naver.com/article/016/0002598830