YTN

일단 성명과 이메일 정보는 3천367만여 건 유출로 확인됐습니다.

하지만 유출자가 조회한 자료의 규모는 훨씬 컸습니다.

조사단은 유출자가 ’배송지 목록’ 페이지에서 약 1억4천만 건의 정보를 조회하고 유출한 것으로 집계했습니다.

배송지 목록 페이지에는 이름·전화번호·주소 같은 배송 정보가 담겨 있습니다.

배송지 정보를 바꾸는 ’배송지 목록 수정’ 페이지는 약 5만 회 조회·유출됐고 여기에는 공동현관 비밀번호까지 포함될 수 있다고 조사단은 설명했습니다.

민감한 구입 정보가 들어있는 ’주문목록’ 페이지도 약 10만 회 조회됐는데 최근 주문한 상품 목록이 확인되는 영역입니다.

조사단은 공격자는 정보에 접근해 조회하는 순간 자료가 자동 수집되는 프로그램을 만들어 방대한 자료를 조회·유출했다고 밝혔습니다.

다만, 이 수치들은 조사단이 확인한 범위이고 개인정보의 세부 유출 규모는 개인정보보호위원회가 최종 확정할 예정입니다.

이 부분이 앞으로 쟁점이 될 것으로 보입니다.

조사단은 공격자 컴퓨터를 포렌식 분석한 결과 쿠팡 시스템에 정상 로그인 없이 접속해 개인정보를 조회했습니다.

그리고 그 정보를 해외에 있는 클라우드 서버로 보낼 수 있는 프로그램, 그러니까 ’공격용 스크립트’를 직접 만들어 둔 사실을 확인했습니다.

쉽게 말하면 유출자가 탈취한 정보를 일일이 복사, 전송하는 방식이 아니라 쿠팡 서버에서 정보를 해외 서버로 일괄 전송하는 코드를 짰습니다.

공격자는 위·변조한 전자 출입증을 이용해 다른 사람 계정의 주문 내역과 배송지 정보 등을 들여다볼 수 있었고 이 정보를 외부 서버로 전송할 수 있는 기능까지 준비한 겁니다.

다만 실제로 해외 서버로 전송이 이뤄졌는지는 쿠팡 측 로그 기록이 남아 있지 않아 확인되지 않았다고 조사단은 설명했습니다.

쿠팡 측에서 해외 서버로 전송된 기록을 찾을 수 없는 상황이지 아예 없었다고 단정할 수는 없는 상황입니다.

정부는 쿠팡 측의 침해사고 신고 지연에 대해 과태료를 부과하고 자료보전 명령 위반에 대해서는 수사를 의뢰했다고 밝혔습니다.

지금까지 경제부에서 YTN 오동건입니다.


자막뉴스ㅣ이 선

#YTN자막뉴스