쿠팡 가입자 3370만명 정보 털렸다…정부 "법 위반시 엄정제재 방침"

30일 민관합동조사단 구성
29일 보도자료 내어 해명
고객 이름 폰번호 이메일
주소 주문정보 고스란히

‘유통 공룡’인 쿠팡의 가입자 정보가 해킹에 의해 유출됐다. 쿠팡은 모바일로 상거래를 하는 국민 대다수가 가입한 국내 최대 유통 채널이다. 이와 관련, 정부는 이번 사태를 심각하다고 보고 조사에 즉시 착수했다.

과학기술정보통신부와 개인정보보호위원회는 쿠팡 개인정보 유출 사태가 대폭 확대됨에 따라 30일 민관합동조사단을 구성했다고 이날 밝혔다. 민관합동조사단은 사고 원인을 분석하고 재발방지 대책을 마련한다.

개인정보위는 쿠팡으로부터 두 차례에 걸쳐 유출 신고(지난 20일 1차, 지난 29일 2차)를 접수받아 지난 21일부터 조사를 진행 중이다. 개인정보위는 국민 다수의 연락처, 주소 등이 포함돼 있어 신속한 조사를 거쳐 보호법상 안전조치의무 위반 시 엄정 제재할 방침이다.

과기정통부와 개인정보위는 유출정보 등을 악용해 스미싱 등 2차 피해가 일어나는 것을 방지하기 위해 보호나라 누리집(www.boho.or.kr)을 통해 대국민 보안공지도 진행했다.

쿠팡은 사고 초반 4536개 계정의 고객명, 이메일, 주소 등의 정보가 유출된 것으로 파악했으나 조사 과정에서 3000만 개 이상 계정에서 정보유출이 됐다고 판단됐다.

30일 쿠팡에 따르면 쿠팡은 고객 계정 정보 3370만 개가 유출됐다. 거의 모든 쿠팡 가입자 정보로 추정된다. 이번에 쿠팡이 털린 가입자 개인 정보 규모는 최근 SK텔레콤 가입자 정보 2300만 명의 개인정보보다 약 1000만 명 많은 수준이다.

앞서 쿠팡은 지난 18일 약 4500개 계정의 개인정보가 무단으로 노출된 사실을 인지했다고 밝혔지만 후속 조사에서 정보가 노출된 계정이 7500배 수준으로 확인된 것이다.

쿠팡은 노출된 정보가 이름, 이메일 주소, 배송지 주소록에 입력된 이름·전화번호·주소, 일부 주문정보라고 밝혔다. 해커들은 해킹된 개인 정보를 ‘다크 웹’이라 불리는 음지의 웹 상에서 거래한다. 이 해킹된 정보가 다른 정보와 결합하면 피해는 확산될 우려가 크다. 특히 주문 정보와 주소를 포함한 개인정보를 알게 되면 해당 고객의 생활 수준 등을 파악할 수 있다.

하지만 쿠팡은 별도로 관리되는 결제정보, 신용카드 번호, 로그인 정보는 포함되지 않았고 고객이 계정과 관련해 따로 취할 조치는 없다고 강조했다.

쿠팡이 한국인터넷진흥원(KISA)에 제출한 침해사고 신고서에 따르면 쿠팡은 지난 6일 오후 6시 38분 이 회사 계정 정보에 대한 무단 접근이 발생했고 지난 18일 오후 10시 52분에 인지했다고 밝힌 바 있다.

쿠팡은 지난 29일 보도자료에서 “현재까지 조사 결과 해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정된다. 무단 접근 경로를 차단했고 내부 모니터링을 강화했다”라고 밝혔다.

쿠팡은 이달 중순 개인정보 노출을 인지한 직후 독립적인 보안기업 전문가를 영입해 자체적인 조사를 진행하는 동시에 경찰청, 한국인터넷진흥원, 개인정보보호위원회 등과 지속적으로 협력하고 있다고 덧붙였다. 쿠팡은 “이번 일로 인해 발생한 모든 우려에 대해 진심으로 사과드린다”며 “쿠팡을 사칭하는 전화, 문자 메시지 또는 기타 커뮤니케이션에 주의해 달라”라고 당부했다.