과학기술정보통신부, 쿠팡 개인정보 침해 사고 민간 합동조사결과 발표
쿠팡 개인정보 침해사고로 이용자 개인정보 3367만여건이 유출된 것으로 확인됐다. 이와 함께 '크롤링'(웹페이지 정보를 자동수집) 기법으로 쿠팡의 배송지 목록을 1억4000만여회 무단 조회한 사실도 드러났다. 이번 조사에는 최근 쿠팡이 밝힌 16만여건의 추가 개인정보 유출 건수는 포함되지 않아 개인정보 유출 건수는 더 커질 것으로 보인다.
10일 과학기술정보통신부(과기정통부)는 정부서울청사에서 쿠팡 침해사고에 대한 민관합동조사단(조사단)의 최종조사 결과를 발표했다. 공격자는 쿠팡 사이트 내 △내정보 수정페이지 △배송지 목록 페이지 △배송지 목록 수정페이지 △주문목록 페이지를 총 1억8000만회 이상 조회했다.
최우혁 과기정통부 정보보호네트워크정책실장은 "쿠팡 전 직원(공격자)이 성명·전화번호·배송지 주소와 공동현관 비밀번호가 포함된 배송지 목록 페이지를 1억4805만회 조회했고, 조회된 정보는 명확히 유출된 것으로 본다"면서 '유출' 대신 '조회수'를 쓴 것은 계정 별로 노출 정보가 달라 동일 건수로 단순화해 숫자를 세기 어렵고, 공격자가 웹페이지 정보를 한꺼번에 담는 '크롤링' 기법을 썼기 때문이라고 설명했다.
구체적으로 계정 주인의 성명·이메일이 담긴 '내정보 수정페이지'에서 3367만여건의 개인정보가 유출됐다. '배송지 목록 페이지'는 1억4000만여회(조회수는 중복 포함) 조회됐다. 여기엔 내 정보 뿐만 아니라 가족, 친지 등의 성명, 전화번호, 주소 정보가 최대 20개까지 담겼다.
성명, 전화번호, 주소, 공동현관 비밀번호까지 적힌 '배송지 목록 수정페이지'는 5만여회 조회됐고, 최근 주문 내역이 포함된 '주문목록 페이지'는 10만여회 조회됐다.
2차 피해는 현재까지 발생하지 않았다. 최 실장은 "다크웹이나 다른 곳 등에서 현재까지 (2차 피해를) 확인하지 못했다"고 밝혔다.
그러나 사고 이후에도 서명키는 부실관리됐다. 조사단은 재직 중인 개발자를 통해 서명키가 여전히 개발자 노트북에 저장(하드코딩)될 수 있다는 사실을 확인했다고 밝혔다.
