쿠팡 '배송지 목록' 1억 4천만 페이지 조회...3,367만 명 정보 털렸다

'내정보 수정 페이지' 성명·이메일 3367만 건 유출
쿠팡 침해 사고…이름·주소 등 1.4억 회 무단 조회
현관 비밀번호 포함 배송지 목록 수정 5만 회 조회

[앵커]

민관합동 조사단이 쿠팡 전직 직원이 저지른 개인정보 침해사고 조사 결과를 두 달여 만에 발표했습니다.

유출 정보 규모는 당초에 추정된 대로 3천3백만 건을 넘어섰습니다.

또 1억4천만 건이 넘는 개인정보 페이지가 조회·유출됐고 해외 서버로 정보를 전송할 수 있는 공격 프로그램도 준비됐던 정황이 드러났습니다.

자세한 내용, 취재기자 연결해 알아보겠습니다.

오동건 기자, 유출자가 조회하고 유출한 정보가 1억 건이 넘었군요?

[기자]

네, 일단 성명과 이메일 정보는 3천367만여 건 유출로 확인됐습니다.

하지만 유출자가 조회한 자료의 규모는 훨씬 컸습니다.

조사단은 유출자가 '배송지 목록' 페이지에서 약 1억4천만 건의 정보를 조회하고 유출한 것으로 집계했습니다.

배송지 목록 페이지에는 이름·전화번호·주소 같은 배송 정보가 담겨 있습니다.

배송지 정보를 바꾸는 '배송지 목록 수정' 페이지는 약 5만 회 조회·유출됐고 여기에는 공동현관 비밀번호까지 포함될 수 있다고 조사단은 설명했습니다.

민감한 구입 정보가 들어있는 '주문목록' 페이지도 약 10만 회 조회됐는데 최근 주문한 상품 목록이 확인되는 영역입니다.

조사단은 공격자는 정보에 접근해 조회하는 순간 자료가 자도 수집되는 프로그램을 만들어 방대한 자료를 조회·유출했다고 밝혔습니다.

다만, 이 수치들은 조사단이 확인한 범위이고 개인정보의 세부 유출 규모는 개인정보보호위원회가 최종 확정할 예정입니다.

[앵커]

유출 정보가 해외 서버로 정보가 넘어갔을 가능성도 있는 건가요?

[기자]

네, 이 부분이 앞으로 쟁점이 될 것으로 보입니다.

조사단은 공격자 컴퓨터를 포렌식 분석한 결과 쿠팡 시스템에 정상 로그인 없이 접속해 개인정보를 조회했습니다.

그리고 그 정보를 해외에 있는 클라우드 서버로 보낼 수 있는 프로그램, 그러니까 '공격용 스크립트'를 직접 만들어 둔 사실을 확인했습니다.

쉽게 말하면 유출자가 탈취한 정보를 일일이 복사, 전송하는 게 방식이 아니라 쿠팡 서버에서 정보를 해외 서버로 일괄 전송하는 코드를 짰습니다.

공격자는 위·변조한 전자 출입증을 이용해 다른 사람 계정의 주문 내역과 배송지 정보 등을 들여다볼 수 있었고 이 정보를 외부 서버로 전송할 수 있는 기능까지 준비한 겁니다.

다만 실제로 해외 서버로 전송이 이뤄졌는지는 쿠팡 측 로그 기록이 남아 있지 않아 확인되지 않았다고 조사단은 설명했습니다.

쿠팡 측에서 해외 서버로 전송된 기록을 찾을 수 없는 상황이지 아예 없었다고 단정할 수는 없는 상황입니다.

정부는 쿠팡 측의 침해사고 신고 지연에 대해 과태료를 부과하고 자료보전 명령 위반에 대해서는 수사를 의뢰했다고 밝혔습니다.

지금까지 경제부에서 YTN 오동건입니다.

YTN 오동건 (odk79829@ytn.co.kr)

※ '당신의 제보가 뉴스가 됩니다'

[카카오톡] YTN 검색해 채널 추가

[전화] 02-398-8585

[메일] social@ytn.co.kr