전화번호·현관비번 등 빠져나가반복적으로 배송지 정보 등 조회 쿠팡 전 직원이 유출한 개인정보 건수가 3300만건이 넘는 것으로 공식 확인됐다. 전화번호와 주소 등 민감한 정보가 포함된 ‘배송지 목록’은 약 1억 5000만회 조회된 것으로 파악됐다. 과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동조사단 조사 결과를 발표했다. 과기정통부는 지난해 11월 29일부터 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량, 총 6642억건의 데이터를 분석했다. 조사 대상에는 범행에 사용된 것으로 추정되는 PC 저장장치 4대가 포함됐고, 현재 재직 중인 쿠팡 개발자의 노트북도 포렌식 조사를 받았다. 조사 결과 지난해 4월 14일부터 11월 8일까지 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 3367만여건이 유출된 것으로 확인됐다. 또 ‘배송지 목록 페이지’에서 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보가 1억 4805만여 차례 조회된 것으로 파악됐다. 이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구의 이름과 전화번호, 배송지 주소 등 제3자 정보도 다수 포함돼 있었다. 피해 규모가 더 커질 가능성이 있다는 의미다. 조사단은 유출자를 ‘내부 퇴직자’라고 공개했다. 중국인 여부에 대해선 “경찰이 수사할 영역”이라며 말을 아꼈다. 유출범은 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템을 설계하고 개발하는 업무를 담당한 소프트웨어 개발자로 확인됐다. 개발자로 근무하며 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 이용자 계정에 접속해 정보를 무단 유출한 것이다. 유출범은 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 ‘배송지 목록 수정 페이지’를 5만 474회 조회했고, 이용자가 최근 주문한 상품 목록이 포함된 ‘주문 목록 페이지’도 10만 2682회 살펴봤다. 지난해 11월 16일과 25일 두 차례에 걸쳐 한국어가 아닌 영어로 협박 메일을 보낸 것으로 확인됐다. 심지어 ‘내 정보 페이지’, ‘배송지 목록 페이지’, ‘주문 목록 페이지’ 등에서 유출한 정보 일부를 영어 이메일 본문에 기재하기도 했다. 조사단은 유출된 개인정보가 제3자에게 흘러갔는지에 대해선 명확히 밝히지 않았다. 조사 과정에서 유출범이 타인 계정으로 무단 접속해 유출 정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능을 확인했지만, 실제 전송이 이뤄졌는지에 대해선 기록이 남지 않아 확인할 수 없다고 설명했다. 또 개인정보 유출에 따른 2차 피해는 아직 확인되지 않았다고 밝혔다. 최우혁 과기부 정보보호네트워크정책실장은 “2차 피해에 대한 부분은 현재까지 저희가 확인한 바로는 다크웹 등에서 확인하지 못했다”고 했다. 정부는 입법 미비로 쿠팡에 과징금을 부과할 수 없다는 입장을 내놨다. 최 실장은 “현행 정보통신망법에서는 재발 방지 대책 이행에 대해 적절하지 않고 문제가 있다고 하면 과태료 처분을 하는 조치만 할 수 있다. 현재 국회에서 침해사고에 대해서 과징금을 물릴 수 있도록 입법이 진행 중인데, 입법되면 관련 제도가 만들어질 것”이라고 말했다. 이날 조사단의 발표와 별도로 개인정보보호위원회(개보위)는 개인정보보호법에 따른 개인정보 유출 규모 및 법 위반 여부 등을 조사하고 있다. 경찰도 별도 수사를 진행 중이다. 쿠팡의 모회사인 쿠팡Inc는 이날 입장문을 내고 “(정보를 유출한) 전 직원이 공용현관 출입 코드에 대해 5만건의 조회를 수행했다고 기재하면서도, 해당 조회가 실제로는 2609개 계정에 대한 접근에 한정된 것이라는 검증 결과를 누락했다”고 반발했다. 조회 수가 정보 유출 규모가 아니라는 항변이다. 이어 “쿠팡 개인정보 유출에 따른 2차 피해의 어떤 증거도 확인되지 않았다”고 주장했다. 미국 하원 법사위원회는 지난 5일(현지시간) 해럴드 로저스 쿠팡 한국법인 임시대표에게 “오는 23일 하원 청문회에 출석해 증언하고, 쿠팡과 한국 정부 간 소통 기록을 제출하라”는 서한을 보냈다. 정부가 발표한 조사 결과가 미 하원이 진행할 쿠팡 청문회에도 영향을 미칠 것으로 보인다.