◀ 앵커 ▶

쿠팡에 대한 민관 합동 조사결과 개인정보 유출 규모가 3천3백만 건에 이르는 것으로 공식 확인됐습니다.

고객 정보를 빼간 쿠팡 전 직원은 모의테스트까지 거치며 7개월 동안 개인정보를 빼냈는데, 쿠팡은 이 사실을 전혀 모르고 있었습니다.

이상민 기자입니다.

◀ 리포트 ▶

민관합동조사단은 쿠팡에서 3천367만여 건의 개인정보가 유출됐다고 확인했습니다.

유출된 정보에는 이름과 전화번호, 주소는 물론 공동현관 비밀번호까지 있었습니다.

개인정보를 빼간 사람은 쿠팡의 소프트웨어 개발자였던 A씨.

전자출입증의 위조나 변조를 확인하는 절차가 없는 쿠팡의 보안 허점을 이용했습니다.

퇴사하면서 가지고 나온 관리자용 서명키로 위조 전자출입증을 만든 A씨는 작년 1월부터 실제 해킹이 가능한지 모의 테스트를 하기도 했습니다.

이후 작년 4월부터 7개월간 2천 3백여 개의 IP를 이용해 개인정보를 무더기로 빼냈습니다.

이 과정에서 이름과 전화번호, 주소가 있는 배송지 목록 페이지는 1억 4천만 번 넘게 조회했습니다.

유출한 정보를 해외 클라우드로 전송하는 시스템까지 만들었는데, 실제 전송이 이뤄졌는지는 확인되지 않았습니다.

해킹이 이뤄지는 동안 쿠팡의 보안 시스템은 말 그대로 무방비였습니다.

A씨는 단 하나의 서버사용자 식별번호만 이용했는데도 쿠팡은 비정상 접속을 알아차리지 못했습니다.

또 서명키를 갱신하지 않아, A씨는 퇴사하면서 가지고 나간 서명키를 그대로 사용할 수 있었습니다.

심지어 현재 재직 중인 다른 개발자의 노트북에서도 서명키가 발견될 정도로 쿠팡의 관리는 허술했습니다.

사후 대응도 부실해, 쿠팡은 개인정보 유출 신고를 24시간이 지나서야 했고, 자료 보전 명령을 받고서도 조치를 안 해 5개월치 웹 접속 기록이 삭제되기도 했습니다.

민관합동조사단은 신고 지연에 대한 과태료를 부과할 예정이며, 자료 보전 명령 위반에 대해서는 수사를 의뢰했다고 밝혔습니다.

개인정보 유출에 대한 과징금은 이번 조사 결과를 바탕으로 개인정보보호위원회에서 결정하는데, 매출액 3% 규정을 적용할 경우 최대 9천5백억 원까지 나올 수 있습니다.

MBC뉴스 이상민입니다.

MBC 뉴스는 24시간 여러분의 제보를 기다립니다.

▷ 전화 02-784-4000
▷ 이메일 mbcjebo@mbc.co.kr
▷ 카카오톡 @mbc제보