개인정보보호위원회는 개인정보 유출 사고와 관련해 쿠팡과 쿠팡풀필먼트서비스(CFS)에 총 6249억2900만 원의 과징금을 부과했다고 11일 밝혔다. 과태료 1680만 원과 시정명령, 처분 결과 공표, 검찰 고발도 함께 결정했다.
조사 결과 유출 규모는 회원 3322만 명, 비회원 최소 433만 명 등 3756만 명 이상으로 집계됐다. 비회원 피해자는 회원이 배송지로 등록한 가족·지인 등이 포함됐다.
◈ 배송지·주문 내역 유출
유출 정보에는 이름, 이메일, 전화번호, 주소, 배송지 정보, 일부 공동현관 비밀번호, 주문 내역 등이 포함됐다. 배송지 정보 6398만 건, 주문 내역 27만 건이 유출된 것으로 조사됐다.
개인정보위는 해커가 보낸 협박 메일에 성인용품 구매 내역 등 민감한 정보도 포함돼 있었다고 밝혔다.
◈ 전직 직원이 인증키 악용
해커는 쿠팡 인증 시스템 개발에 참여했던 전직 직원으로 파악됐다. 그는 퇴사 전 확보한 인증 서명키로 허위 인증 토큰을 생성해 시스템에 접근한 것으로 조사됐다.
개인정보위는 쿠팡이 인증키를 평문으로 관리했고 퇴사 후에도 변경·폐기하지 않았다고 지적했다. 또 비정상 접속과 대량 공격을 탐지하지 못하는 등 모니터링 체계도 미흡했다고 밝혔다.
해커는 16개 IP를 이용해 총 1억4800만 회의 공격을 시도한 것으로 조사됐다.
◈ 탈퇴 회원 정보도 보관
개인정보위는 쿠팡이 탈퇴 회원 배송지 정보 246만 건과 계좌번호 31만 건 등을 파기하지 않고 보관했다고 밝혔다. 일부 정보는 실제 유출된 것으로 조사됐다.
또 법정 기한 내 유출 사실을 통지하지 않았고 비회원에게는 별도 통지도 하지 않았다고 설명했다. 조사 과정에서는 약 5개월 분량의 웹 접속 로그가 삭제된 사실도 확인됐다고 밝혔다.
개인정보위는 쿠팡에 인증체계 개선과 비회원 대상 유출 통지를 명령했으며, 처분 결과를 홈페이지에 공표하도록 했다.
▶ 기사제보 및 보도자료 press@cdaily.co.kr
- Copyright ⓒ기독일보, 무단전재 및 재배포 금지
