 |
| /연합 |
앞서 쿠팡은 2차 국회 청문회를 앞둔 지난해 12월 25일 자체 조사결과 발표에서 "공격자가 3300만개 이상의 고객정보에 접근했으나, 3000개 계정 정보만 본인 외부 하드디스크 드라이브에 저장했다"고 밝혔다. 실제 유출은 3000건에 불과해 경미한 사고라는 식의 주장을 편 것이다. 하지만 합동조사단이 발표한 개인정보 유출 규모는 쿠팡측 자체조사 결과의 1만배를 웃돈다. 공신력 있는 정부 발표가 처음 나온 만큼 쿠팡은 더 이상 피해 규모를 축소하며 책임 회피에 급급할 게 아니라 고객 피해보상과 재발방지책 마련에 만전을 기해야 할 것이다.
과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단의 잠정조사 결과, 쿠팡 '내 정보 수정 페이지'에서 이용자 성명, 이메일이 포함된 3367만여 건이 유출된 것을 확인했다고 밝혔다. 또 쿠팡에서 제출받은 공격자 PC 저장장치 등을 분석해 범인이 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호 등 1억4800만건을 조회한 사실도 밝혀냈다. 이 배송지 목록 페이지에는 고객 본인 외에도 가족 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함돼 있다.
범인은 또 이용자가 최근 주문한 상품 목록이 포함된 주문목록 페이지를 10만여 건, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지도 5만회 넘게 조회했다. 당초 알려진 것보다 유출 정보가 훨씬 광범위해 해당 정보가 실제 금전적 피해로 이어지는 2차 피해 가능성도 배제하기 어렵다. 합동조사단 조사에서는 신용카드 결제정보 유출이나 2차 피해는 발견되지 않았다. 그렇다고 향후 피해가 없을 것이라 장담할 수는 없는 상황이다. 범인이 제3자에게 고객정보를 팔아넘겼는지 등 정확한 유출 피해 규모는 향후 개인정보보호위원회 확정 발표를 지켜봐야 알 수 있을 것 같다.
쿠팡 재직 당시 이용자 인증시스템 소프트웨어 개발자였던 범인이 시스템 서명키를 빼돌린 뒤 전자출입증을 위조해 쿠팡서비스에 무단 접속했는데도 쿠팡 측은 까맣게 몰랐을 정도로 보안이 허술했다. 과기정통부는 유출사고 지연 보고 등 책임을 물어 과태료 부과를 예고했지만, 과태료 부과만으로는 절대 안 된다. 경찰수사 과정에서 쿠팡 측이 고의로 피해 규모를 축소 발표한 사실이 드러난다면 민·형사상 책임과 함께 영업정지 등 더 강도 높은 제재에 나서야 할 것이다.
