쿠팡의 대규모 개인정보 유출사고를 주도한 전직 직원이 쿠팡 측에 보낸 협박 이메일에는 이용자의 성인용품·속옷 구매내역 등 민감 정보가 다수 포함됐던 것으로 드러났다.

11일 개인정보보호위원회가 낸 쿠팡 제재 자료에 따르면 쿠팡 전직 직원인 공격자(해커)는 2025년 4월 14일부터 배송지 관리 및 수정 페이지, 회원정보 수정페이지 등에서 배송지 정보와 회원 개인정보를 유출했다.

또 주문 목록 페이지에 8만차례 넘게 접근해 공동현관 비밀번호와 주문정보도 빼돌렸다.

해커는 유출한 정보를 조합해 회원별 프로필을 재구성했고, 샘플 데이터를 포함한 협박 메일을 2차례 회원과 쿠팡 측에 각각 발송했다.

그는 두 번째 협박 메일에서는 한국 회원의 주소 1억2천만개와 주문정보 5억6천만개, 이메일 주소 3천3백만개 이상을 보유하고 있다는 사실과 함께 지역 및 이메일 도메인별 분류 수치를 제시했다.

당시 협박 메일에 담긴 샘플 데이터에는 이용자들의 성인용품, 속옷 구매 내역 등 민감한 정보가 여럿 포함됐던 것으로 개인정보위는 파악했다.

 

 

해커가 유출한 정보 중 이런 류의 민감정보가 포함돼 있었다는 유사한 지적은 올해 2월 열린 국회 대정부 질문 과정에서 제기된 바 있다.

더불어민주당 김승원 의원은 지난 2월 11일 국회에서 열린 대정부 질문에서 쿠팡 개인정보 유출 용의자가 성인용품을 주문한 3천명을 선별해 협박했다며 해커에 의해 성인용품 주문자 리스트가 만들어졌다는 주장을 폈다.

하지만 쿠팡 측은 "공격자가 성인용품 주문 리스트를 별도로 만들어 금전 협박을 한 사실은 전혀 없다"고 부인하며 "사실과 다른 내용이 대정부질문에서 언급돼 유감"이라는 입장을 내놨다.

https://www.yna.co.kr/view/AKR20260611123000530