"1억 4천만 번 훔쳐봤다" 경악한 결과…3,367만 명 털렸다

<앵커>

쿠팡 개인정보유출사고에 대한 합동조사 결과가 나왔습니다. 3천367만 개 계정의 이름과 이메일이 유출됐고, 전화번호, 주소 등이 담긴 배송지 주문 정보도 1억 4천만 번이나 조회됐습니다.

먼저, 정성진 기자가 보도합니다.

<기자>

쿠팡이 제출한 공격자의 PC 저장장치, 애플리케이션 접속 기록 등을 분석한 결과, 민관합동 조사단은 3천300만 건이 넘는 개인정보가 샜다고 판단했습니다.

성인 4명 중 3명꼴.

국내 전자상거래 플랫폼 침해 사고 가운데 '최대 규모'입니다.

조사단은 쿠팡 전직 직원 A 씨가 재직 당시 관리하던 '서명키'를 훔쳐 로그인 절차에 필요한 '전자 출입증'을 위변조한 후, 지난해 4월부터 11월까지 7개월간 쿠팡 앱과 웹사이트 등에 무단으로 드나들었다고 밝혔습니다.

A 씨는 내 정보 수정 페이지에서 쿠팡 이용자의 성명과 이메일을 모두 3천367만여 건 유출했습니다.

본인은 물론 가족이나 지인의 이름과 전화번호, 주소, 아파트 공동현관 비밀번호까지 포함된 배송지 목록 페이지는 무려 1억 4천800만 번 조회됐습니다.

쿠팡은 전직 직원 A 씨의 이메일을 받기 전까진 침해 사실을 몰랐습니다.

[최우혁/과기정통부 정보보호네트워크정책실장 : 이것은 분명히 관리의 문제입니다. 지능화된 공격으로 보기는 어려울 것 같습니다.]

조사단은 조회만으로도 개인정보가 유출됐다는 점을 분명히 했습니다.

[이동근/한국인터넷진흥원 디지털위협대응본부장 : (쿠팡에) 들어가는 순간 보시는 것처럼 고객의 정보들이 다 공격자의 PC라든지, 노트북이라든지, 서버라든지 그런 쪽으로 다 전송되기 때문에….]

다만, 결제 정보는 유출 대상에 포함되지 않았습니다.

지난 5일 쿠팡이 추가로 확인됐다고 밝힌 16만 5천 건의 유출도 이번 조사에는 포함되지 않았습니다.

과기부는 쿠팡이 침해사실을 알고도 하루가 지나서야 신고한 데 대해 과태료 처분하기로 했습니다.

과징금은 개인정보보호위원회가 정확한 유출 규모를 확정한 뒤 부과될 전망입니다.

(영상취재 : 정성화·최대웅, 영상편집 : 신세은)

정성진 기자 captain@sbs.co.kr