[뉴스토마토 이지은 기자] 쿠팡의 개인정보 보호·관리 체계의 허점이 정부 조사 결과를 통해 구체적으로 드러났습니다. 외부 해킹이 아닌 전직 직원에 의한 내부 침해로 이름, 이메일, 배송지 정보가 대규모로 유출됐으며, 유출 규모는 3367만여건에 달하는 것으로 확인됐습니다. 국내 최대 전자상거래 플랫폼 침해 사고로 꼽힙니다. 특히 쿠팡이 초기 자체 조사에서 밝힌 유출 규모와 실제 피해 규모 사이에 큰 차이가 확인되면서, 사고 축소·은폐 의혹도 함께 제기되고 있습니다.
과학기술정보통신부와 한국인터넷진흥원(KISA)으로 구성된 민관합동조사단은 10일 쿠팡 이용자 개인정보가 장기간에 걸쳐 무단 열람·유출된 사실을 조사한 결과, 내 정보 수정 페이지에서 성명과 이메일이 포함된 이용자 정보 3367만3817건이 유출된 사실을 확인했다고 밝혔습니다. 이는 2024년 11월29일부터 2025년 12월31일까지 쿠팡 접속 기록 25.6TB를 분석한 결과입니다.
최우혁 과기정통부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 '쿠팡 침해사고 민관합동조사단 조사결과 발표' 브리핑을 하고 있다. (사진=뉴시스)
조사단은 또 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지가 1억4805만6502회 조회돼 개인정보가 유출된 사실도 확인했습니다. 해당 페이지에는 계정 소유자 본인뿐 아니라 가족, 지인 등 제3자의 개인정보가 다수 포함돼 있어, 피해 범위가 개인 단위를 넘어 확산됐을 가능성도 있습니다. 이와 함께 공동 현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만474회, 최근 주문 상품 정보가 포함된 주문 목록 페이지는 10만2682회 조회된 것으로 조사됐습니다.
다만 결재 정보 등은 유출되지 않았다는 것이 조사단의 설명입니다. 최우혁 과기정통부 정보보호네트워크정책실장 10일 정부서울청사에서 '쿠팡 침해사고 민관합동조사단 조사결과'를 발표하면서 "결재 관련 정보는 유출되지 않았다"고 했습니다. 아울러 "쿠팡 해킹과 관련해 2차 피해에 대한 부분은 현재까지 지금 확인한 부분은 다크웹 등에서 확인되지 못했다"고 말했습니다.
공격자는 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템을 설계하고 개발하는 업무를 담당한 소프트웨어 개발자로 확인됐습니다. 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용, '전자 출입증'을 위·변조해 쿠팡 인증 체계를 통과했습니다. 그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있었습니다.
조사단은 또 쿠팡에 전자 출입증 위·변조 확인 절차가 부재했고, 퇴사자가 가진 서명키 관리 체계가 미비했다는 점도 지적했습니다. 쿠팡은 특히 모의 해킹을 통해 전자 출입증 전반의 인증 체계의 취약점을 발견했지만, 근본적인 문제 개선을 하지 않은 것으로 확인됐습니다.
과기정통부는 쿠팡이 침해 사고를 인지한 후 24시간이 지난 후에 신고한 점을 감안해 과태료를 부과할 예정입니다. 정보통신망법에 따라 사업자는 침해 사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 합니다. 쿠팡의 정보보호최고책임자(CISO)가 보고를 받은 시점은 지난해 11월17일 오후 4시였지만, KISA 신고 시간은 같은 달 19일 오후 9시35분입니다.
과기정통부는 또 쿠팡의 자료 보전 명령 위반과 관련해 수사기관에 수사도 의뢰했습니다. 쿠팡은 정부의 자료보전 명령에도 불구하고 접속 기록의 자동 로그 저장 정책을 조정하지 않아 2024년 7~11월 분량의 웹 접속 기록은 삭제된 상황입니다. 지난해 5월23일~6월2일의 앱 접속 기록도 삭제됐습니다. 과기정통부는 이번 조사 결과를 토대로 쿠팡에 이달까지 재발 방치 대책에 따른 이행 계획을 제출하도록 하고, 상반기 중 이행 여부를 점검할 계획입니다. 이와 별도로 개인정보보호위원회는 개인정보보호법에 따른 개인정보 유출 규모와 법 위반 여부 등을 조사하고 있습니다. 경찰청 역시 수사를 진행 중입니다.
한편 정부는 이번 '쿠팡 침해사고 민관합동조사단 조사결과'가 공정하게 진행됐다는 점을 강조했습니다. 최우혁 실장은 "조사단은 한 번도 법과 원칙에 벗어난 적이 없으며 어떤 기업도 차별한 적이 없다"며 "결과는 나오는 대로 신속하게 투명하게 공개하겠다는 원칙을 실천해 오고 있다"고 강조했습니다. 앞서 미국 하원이 지난 5일(현지시간) 쿠팡 사태와 관련해 한국 정부의 차별을 주장하며 해롤드 로저스 쿠팡 임시 대표에게 보낸 소환장을 공개한 바 있는데, 이를 의식한 발언으로 평가됩니다.
이지은 기자 jieunee@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지