쿠팡 배송지 등 정보 1억5000만건 털려

민관 합동 조사 결과

고객정보 3367만명 탈취 공식 확인
당국 “재발방지책 2월 중 제출 지시”

쿠팡 전 직원의 개인정보 유출 사건으로 3300만명이 넘는 고객 정보가 유출되고, 범인이 들여다본 배송지 주소 등의 정보는 1억5000만건에 달하는 것으로 파악됐다.

과학기술정보통신부는 10일 쿠팡의 정보 유출 사태와 관련해 이 같은 내용의 민관합동조사단 조사 결과를 발표했다.

쿠팡 전 직원의 불법 접근으로 3300만명 넘는 고객 개인정보가 유출되고, 배송지 정보 등 1억5000만건이 무단 조회된 것으로 드러났다. 연합뉴스

조사 결과 개인정보 탈취 공격자인 쿠팡의 전 중국인 개발자 A씨는 지난해 4월14일부터 11월8일까지 과거 자신이 사용했던 쿠팡 홈페이지 및 애플리케이션(앱)의 인증키를 활용해 무단으로 3367만명에 달하는 쿠팡 회원들의 개인정보를 탈취한 것으로 드러났다. A씨는 여기에 이름과 전화번호, 주소가 포함된 배송지 목록과 공공 현관 비밀번호까지 있는 배송지 목록 수정페이지를 각각 1억4800만회, 5만회 넘게 조회했다. 배송지 목록에는 계정 소유자 본인 외에도 가족과 친구의 성명, 전화번호, 배송지 주소 등 정보가 포함됐다. A씨는 고객들의 최근 구매내역이 기록된 주문상품 목록도 10만회가 넘게 들여다봤다. 다만 결제 정보는 유출 대상에 포함되지 않았고 주소, 공동현관 비밀번호 등 민감한 개인정보가 실제 2차 피해로 이어졌는지 아직 확인된 바 없다.

A씨는 쿠팡에서 이용자 인증 시스템 설계·개발 업무를 담당하면서 퇴사 전 인증키를 자신의 노트북으로 빼낸 뒤 지난해 1월 사전 테스트를 진행하는 등 치밀하게 범행을 준비했다.

과기정통부는 쿠팡이 지난해 11월17일 오후 4시 개인정보 침해 사실을 인지하고도 24시간이 지난 19일 오후 9시35분에 한국인터넷진흥원에 신고한 것과 관련해 신고지연으로 과태료 처분에 나선다는 계획이다. 또 정부의 자료보전 명령에도 불구하고 이후 홈페이지와 앱 접속기록을 삭제하는 등 조사를 방해한 혐의로 수사를 의뢰하기로 했다.

과기정통부 관계자는 “이번 조사 결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 이달 중 제출하도록 하고 7월까지 이행 결과를 점검할 계획”이라고 밝혔다.