쿠팡 개인정보 누출 사건이 생각보다 훨씬 심각한 것으로 드러났습니다.
처음에는 4,500개 계정만 노출되었다고 공지했다가 11일 뒤에 후속 조사를 한 결과 약 3,370만개의 고객 계정 정보가 외부에 무단 노출된 대형 개인정보 유출 사고로 판이 더 커져버렸습니다.
규모가 무려 7,500배 이상 커져버린 겁니다.
쿠팡은 11월 29일 공지를 통해서 고객 계정 약 3,370만개가 무단으로 노출된 것으로 확인되었다고 밝혔습니다.
이는 최근 공개된 3분기 활성 고객 수였던 2,470만명보다도 1,000만개 가량 많은 숫자이며 현재 사용하고 있는 사용자 뿐만 아니라 휴면 계정이나 탈퇴 회원까지 사실상 전 고객의 정보가 포함되었을 가능성이 크다고 보고 있습니다.
현재 유출된 항목으로는 이름, 이메일 주소, 배송지 주소(수령인 이름, 전화번호, 주소), 일부 주문 정보 등이 있으며 쿠팡은 결제 정보나 신용카드 정보, 계좌번호, 비밀번호, 로그인 정보는 유출되지 않았다고 밝혔습니다.
배송지 주소까지 털린 것도 그렇지만 공동현관비번까지도 싹 털린게 가장 무서운 점인 것 같습니다.
쿠팡 개인정보 누출 사건의 개요
쿠팡은 11월 18일 저녁에서야 4,500개 계정의 개인정보가 무단 열람된 사실을 처음 인지했고 이후 경찰청·한국인터넷진흥원(KISA)·개인정보보호위원회에 신고를 했습니다.
그리고 로그 분석과 포렌식 조사에서 올해 6월 24일부터 해외 서버를 거쳐 고객 계정 정보에 반복적으로 무단 접근한 기록이 있다는 것을 확인했고 그 범위가 3,370만개의 계정까지 확대된 것으로 드러났습니다.
전문가들은 쿠팡의 시스템 취약점을 이용해 로그인 없이도 배송 관련 정보에 접근할 수 있었던 구조와 내부 권한을 가진 계정을 탈취하거나 악용한 내부자·전직 직원 연루 가능성을 살펴보고 있는 중입니다.
언론에서는 핵심 용의자로 중국 국적의 전직 직원이 지목되었다는 언급이 나왔고 사건 직후 중국으로 출국해서 수사가 쉽지 않을 것이라는 내용도 올라왔습니다.
아직 공식적인 수사 결과는 발표되지 않았기 때문에 범인이 누구인지 단정짓기는 힘들지만 범인을 잡지 못하더라도 범인이 탈취한 정보를 통해 어떤 짓을 할 것인지를 가장 먼저 예측하고 예방하는 것이 중요하다고 봅니다.
현재 수사당국은 민관 합동조사단을 꾸려 쿠팡에 대한 현장 조사와 함께 과징금·과태료 부과 여부를 검토하고 있는 중입니다.
아직까지 쿠팡에선 금전적인 배상이나 보상 기준을 구체적으로 밝히고 있지 않아서 집단소송으로 이어질지 아니면 통 큰 보상으로 사과를 대신 할 것인지 계속 지켜봐야 할 것 같습니다.