[더팩트ㅣ임영무 기자] 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다.

해당 직원은 전화번호, 배송지주소, 특수문자로 비식별호된 공동현관 비밀번호 등이 포함된 배송지 목록 페이지를 약 1억4800만건 조회한 것으로 드러났다. 배송지 목록 수정 페이지는 5만여 건 확인했다. 주문 상품 목록 페이지도 10만여 건 열람했다.

직원은 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어(SW) 개발자로 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 이용자 계정에 접속해 정보를 무단 유출했다.

조사단은 침해사고를 일으킨 전 직원(공격자)이 정보 유출 사실을 담은 이메일을 지난해 11월 16일과 25일 두 차례에 걸쳐 쿠팡 측에 보냈다고 밝혔다.

내 정보 수정 페이지에서는 성명, 이메일이 포함된 이용자 정보 3367만3817건이 유출됐다. 쿠팡 전 직원은 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지에 1억4805만6502회 조회했다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 포함돼 있다. 성명, 전화번호, 배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만474회 조회했다. 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지도 10만2682회 조회했다.


darkroom@tf.co.kr

사진영상기획부 photo@tf.co.kr