[서울타임즈뉴스 = 허성미 기자] 민관 합동 조사 결과, 쿠팡의 개인정보 유출 규모가 3367만여 명에 달하는 것으로 나왔다. 배송지 정보 등 민감한 개인정보가 조회된 횟수만 1억5000만 건에 이르는 것으로 파악됐다. 

10일 연합뉴스에 따르면 과학기술정보통신부는 이날 정부서울청사에서 쿠팡 사이버 침해 사고에 대한 민관 합동 조사 결과를 잠정 발표했다. 조사단은 지난해 11월 29일부터 쿠팡의 웹 접속기록(로그) 25.6TB, 총 6642억 건의 데이터를 분석한 결과 ‘내 정보 수정 페이지’를 통해 이용자 이름과 이메일 3367만여 건이 유출됐다고 밝혔다. 다만 쿠팡이 최근 추가로 공지한 16만5000여 계정 유출 건은 이번 조사 결과에 포함되지 않았다.

조사에 따르면 전직 직원인 범인은 ‘배송지 목록 페이지’를 통해 이름, 전화번호, 배송지 주소, 비식별 처리된 공동현관 비밀번호 등이 포함된 정보를 1억4800만여 차례 조회했다. 이 과정에서 계정 소유자뿐 아니라 가족이나 지인 등 제3자의 개인정보도 다수 포함돼 피해 범위가 확대될 가능성이 제기된다. 특히 공동현관 비밀번호는 배송지 수정 페이지를 통해 5만여 차례 조회된 것으로 확인돼 2차 피해 우려를 키웠다.

범인은 쿠팡 재직 당시 인증 시스템 설계를 담당한 개발자로, 지난해 1월 취약점을 발견해 시험한 뒤 4월부터 11월까지 자동화된 웹 크롤링 도구로 개인정보를 수집했다. 200일 이상 반복된 공격에도 쿠팡은 비정상 접속을 탐지하거나 차단하지 못한 것으로 조사됐다. 전자 출입증(토큰) 위·변조 가능성이 사전 모의 해킹에서 지적됐음에도 개선 조치가 이뤄지지 않았다는 점도 문제로 꼽혔다.

정부는 사후 대응 과정에서도 쿠팡의 부실을 지적했다. 침해 사고 인지 후 24시간내 신고 의무를 위반해 이틀 이상 지연 신고한 데 대해 과태료를 부과할 방침이다. 또 자료 보전 명령을 이행하지 않아 수개월치 접속 기록이 삭제된 점에 대해서는 수사를 의뢰했다. 과기정통부는 이달 중 재발 방지 대책 이행 계획을 제출받고, 오는 7월까지 이행 여부를 점검할 계획이다. 정확한 최종 유출 규모는 향후 개인정보보호위원회에서 확정해 발표할 예정이다.