▲ 사진=KBS뉴스영상캡쳐

쿠팡 개인정보 유출 피해자가 3,367만 명에 달하는 것으로 확인됐다.

쿠팡이 최초 신고한 4천여 건보다 무려 7천 배 이상 많은 개인정보가 유출된 것이다.

공격자는 자동 프로그램을 이용해 공동 현관 비밀번호가 포함된 ‘배송지 목록 수정 페이지’를 5만여 번, 민감한 상품 목록이 포함된 ‘주문 목록 페이지’를 10만여 번 조회한 것으로 드러났다.

배송지 목록 페이지는 총 1억 4천만 번 조회됐는데, 이 기록에는 가족과 친구 등 지인의 배송 정보도 다수 포함됐다.

유출 경로도 확인됐다. 쿠팡 이용자가 아이디와 비밀번호를 입력하면 쿠팡 관문 서버가 이를 확인하고 전자출입증을 발급한다.

이 과정에서 서명키로 본인 여부를 확인하는데, 쿠팡 전 개발자였던 공격자는 이 서명키를 대규모로 탈취해 무단 접속하는 수법을 사용했다.

정부는 쿠팡에 자료 보전을 명령했지만, 5개월 분량의 웹 접속 기록 등이 삭제된 사실을 확인하고 수사당국에 수사를 의뢰했다.

또 침해사고 인지 24시간이 지난 뒤 신고한 것에 대해 과태료를 부과할 예정이다.

과학기술정보통신부는 이달 내로 쿠팡에 재발 방지 대책에 따른 이행계획을 제출하도록 하고, 올해 7월까지 이행 결과를 점검할 계획이다.