“쿠팡 정보 1.5억번 조회…해킹 아닌 관리의 문제”

■과기부 민관합동 조사 결과 지난해 4월부터 7개월간 수집 비정상적 접속 차단하지 못해 서울의 한 쿠팡 배송 차량에 붙여진 쿠팡 로고 / 연합뉴스 쿠팡의 개인정보 유출 사건과 관련해 성명, 전화번호, 주소, 공동 현관 비밀번호 등의 정보가 1억 5000만 회 무단 조회된 사실이 새로 밝혀졌다. 쿠팡에 재직한 이력이 있는 중국인으로 알려진 범인이 뻬간 개인정보 유출 규모가 당초 파악된 3300만여 건보다 크다. 정부는 지능화된 해킹이 아닌 쿠팡의 관리 문제에 따른 결과라는 점을 분명히 했다. 과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 대한 민관합동조사단의 조사 결과를 발표했다. 조사 결과 범인은 지난해 4월 14일부터 같은 해 11월 8일까지 쿠팡을 공격했다. 쿠팡 ‘내 정보 수정 페이지’에서는 이용자 이름, e메일 3367만여 건이 유출됐다. 범인은 또한 ‘배송지 목록 페이지’를 1억 4800만여 차례 조회해 정보를 빼갔다. 여기에는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동 현관 비밀번호가 담겼다. 2차 범죄에 악용될 우려가 제기됐던 공동 현관 비밀번호는 ‘배송지 목록 수정 페이지’를 통해 이름·전화번호·주소와 함께 5만여 건 조회됐다. 대규모 유출 피해의 근본 원인으로 쿠팡의 허술한 보안 체계가 지목됐다. 조사단에 따르면 쿠팡은 범인의 비정상적인 접속 행위를 사전 탐지해 차단하지 못했다. 게다가 쿠팡은 이용자 인증 관련 시스템 개발자로 일했던 범인이 퇴사한 후에도 서명키를 즉시 갱신하지 않았다. 최우혁 과기정통부 정보보호네트워크정책실장은 “쿠팡의 인증 체계 문제점을 강하게 질타하고 지적했다”면서 “(개인정보 유출 사건은) 관리의 문제이지 지능화된 (해킹) 공격으로 보기는 어렵다”고 강조했다. ▷기사 5면