인증 취약점 이용해 이름·전화번호 등 유출
[더팩트ㅣ유연석 기자] 정부 조사 결과 쿠팡 개인정보 유출 사고에서 결제정보 유출이나 금전적 피해 등 2차 피해는 확인되지 않은 것으로 나타났다.
과학기술정보통신부(과기정통부)는 10일 민관합동조사단 조사 결과를 통해 전직 쿠팡 직원이 내부 인증 취약점을 악용해 정상 로그인 없이 다량의 정보를 무단 조회했다고 밝혔다.
최우혁 과기정통부 정보보호네트워크정책실장은 "현재까지 결제정보 유출은 없으며, 유출 정보가 범죄에 악용된 2차 피해 사례도 없다"고 설명했다.
해당 정보들은 별도의 보안 서버에 암호화되어 저장되는 등 엄격하게 분리 관리되고 있어 이번 접근 대상에서 제외됐다는 설명이다.
또 조사단이 파악한 피해 현황에서도 정보 유출을 빌미로 한 금전 요구, 스미싱, 명의 도용 등 실질적인 2차 피해 사례는 단 한 건도 확인되지 않았다.
조사단은 지난해 11월 말부터 쿠팡의 웹 접속 기록 25.6TB(약 6642억건)를 분석해 '내 정보 수정 페이지'에서 이름과 이메일 등 3367만여건이 유출된 사실을 확인했다.
또한 배송지 목록 페이지에서 이름·전화번호·주소 등이 1억4800만여회 조회됐으며, 공동현관 비밀번호가 노출될 수 있는 '배송지 목록 수정 페이지'에는 5만여회 접근이 발생한 것으로 파악됐다.
범인은 쿠팡 재직 당시 인증 시스템을 설계했던 개발자로, 지난해 1월 인증 취약점을 발견한 뒤 4월부터 자동화 크롤링 도구를 이용해 무단 수집을 시작한 것으로 드러났다.
정부는 해당 정보가 외부 클라우드로 전송됐는지 여부에 대해 추가 수사가 필요하다는 입장이다.
ccbb@tf.co.kr
- 발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
- · 카카오톡: '더팩트제보' 검색
- · 이메일: jebo@tf.co.kr
- · 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
- · 네이버 메인 더팩트 구독하고 [특종보자→]
- · 그곳이 알고싶냐? [영상보기→]
