＃민관합동조사단 조사 결과 발표… 당초 신고보다 7,000배 넘는 대규모 유출 확인
＃퇴사한 개발자가 재직 시절 서명키로 ‘전자출입증’ 위조해 서버 무단 접속… 1억 4천만 회 조회
＃신고 지연 및 접속 기록 삭제 등 법 위반 확인… 정부, 과태료 부과 및 수사 의뢰 단행

---

국내 최대 이커머스 플랫폼 쿠팡에서 발생한 개인정보 유출 사고의 실체가 드러났다. 당초 쿠팡 측이 신고했던 유출 규모는 4,536건이었으나, 민관합동으로 진행된 정밀 조사 결과 실제 피해 규모는 3,367만여 건에 달하는 것으로 파악됐다.

조사 결과에 따르면 유출된 개인정보는 상상을 초월하는 수준이다. 내 정보 수정 페이지를 통해 성명과 이메일 주소 등 3,367만 3,817건이 유출됐으며, 성명과 전화번호, 주소가 포함된 배송지 목록 페이지는 무려 1억 4,805만여 회나 조회됐다. 특히 소상공인과 소비자들에게 민감한 정보인 공동현관 비밀번호가 담긴 페이지도 5만여 회, 최근 주문 상품 목록도 10만여 회나 해커의 손에 노출된 것으로 확인됐다.

이번 사건의 충격적인 지점은 공격자가 쿠팡에서 이용자 인증 시스템을 직접 설계하고 개발했던 전직 소프트웨어 개발자(Staff Back-end Engineer)였다는 사실이다. 그는 지난해 1월 퇴사 전 미리 사전 공격 테스트를 거쳤으며, 퇴사 후 7개월 동안 본격적으로 개인정보를 탈취했다.

공격자는 재직 당시 발급받은 서명키를 이용해 가짜 ‘전자출입증’을 손쉽게 위조했다. 쿠팡 측은 해당 개발자가 퇴사했음에도 불구하고 시스템 서명키를 즉시 갱신하거나 폐기하지 않았으며, 이로 인해 공격자는 특별한 제약 없이 서버에 드나들며 정보를 긁어모았다. 이미 모의해킹 등을 통해 보안 취약점을 파악하고도 개선하지 않은 쿠팡의 방만 경영이 화를 키운 셈이다.

과기정통부는 쿠팡의 법 위반 사실도 함께 공개했다. 쿠팡은 침해사고를 인지한 후 24시간 이내에 신고해야 하는 정보통신망법 규정을 어기고, 내부 보고 시점으로부터 24시간이 지나서야 신고한 것으로 확인됐다. 이에 정부는 신고 지연에 대한 과태료를 부과했다.

더욱 심각한 것은 사고 이후의 태도다. 정부가 자료 보전 명령을 내렸음에도 불구하고 쿠팡 측은 웹 및 애플리케이션 접속 기록을 삭제하여 조사를 방해한 정황이 포착됐다.

정부는 쿠팡에 재발 방지를 위한 강력한 대책 마련을 주문했다. 정상적인 절차를 거치지 않은 전자출입증에 대한 탐지·차단 체계를 도입하고, 서명키 관리 체계를 전면 강화하라는 내용이다. 이달 안으로 이행 계획을 제출받은 뒤, 4~5월 중 이행 여부를 점검하고 미진할 경우 시정 조치를 명령할 계획이다.

개인정보 유출로 인한 2차 피해 우려가 커지면서 입점 소상공인과 이용자들의 불안감은 극에 달하고 있다. 이번 조사 결과 발표를 기점으로 쿠팡의 보안 책임에 대한 법적 공방과 보상 논의가 본격화될 것으로 보인다.