쿠팡 전 직원이 유출한 개인정보 규모가 정부가 당초 추정하던 대로 3300만건을 넘어서고 범인이 들여다본 배송지 주소 등의 정보는 1억5000만건에 달하는 것으로 확인됐다. ⇒관련 기사 7면과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다. 과기정통부는 지난해 11월 29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6천642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3367만여 건이 유출된 것을 파악했다.조사단은 사건 초기 쿠팡 개인정보 유출 규모가 3370만건이라고 추정했지만 추가 조사 결과 3367만여 건으로 파악했다. 여기에 쿠팡이 최근 추가로 밝힌 16만5천여 계정 유출 건은 포함되지 않았다. 조사단은 "웹 접속기록 등을 기반으로 유출 규모를 산정했고 정확한 개인정보 유출 규모에 대해서는 향후 개인정보보호위원회에서 확정해 발표할 예정"이라고 했다.조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐고 현재 재직 중인 쿠팡 개발자 노트북도 포렌식 조사했다. '배송지 목록 페이지'에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억4800만여 차례 조회해 정보가 유출된 것을 파악했다. 이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제삼자 정보도 다수 포함돼 있어 정보 유출 대상자 범위가 확대될 가능성이 있다. 2차 범죄에 악용될 우려가 컸던 공동현관 비밀번호는 '배송지 목록 수정 페이지'를 통해 이름, 전화번호, 주소와 함께 5만여 건 조회됐다. 최근 주문한 상품 목록은 '주문 목록 페이지'에서 10만여 차례 조회됐다. 결제 정보는 유출 대상에 포함되지 않았고 주소, 공동현관 비밀번호 등 민감한 개인정보가 실제 2차 피해로 이어졌는지 확인된 바는 없다.조사단이 파악한 정보 유출 규모는 중국인 전 직원이 지난해 11월 25일 쿠팡 측에 보낸 이메일에서 주장한 유출 규모보다는 작다. 그는 이메일에서 "1억2000만 개 이상의 배송 주소 데이터, 5억6000만 개 이상의 주문 데이터, 3300만개 이상의 이메일 주소 데이터를 확인했다"고 밝힌 바 있다.조사단은 그가 쿠팡 재직 당시 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 맡은 개발자였다며 지난해 1월부터 쿠팡 서버의 인증 취약점을 발견하고 공격 여지를 시험한 뒤 지난해 4월 14일부터 본격적인 무단 유출에 나섰다고 전했다.다만, 조사단은 범인을 중국인이라고 특정해 표현하지는 않았다. 조사단 관계자는 "중국인인지 여부는 경찰 수사 영역"이라며 공격자가 1명인지 다수인지 여부도 경찰 수사 결과를 지켜봐야 한다고 말했다. 연합