[이데일리 김현아 기자] 쿠팡 침해사고 연석청문회에서 범죄 용의자가 쿠팡 측에 보냈다는 ‘협박메일’ 일부 내용이 공개됐다.

더불어민주당 김우영 의원(서울 은평을)은 31일 청문회 2일차 질의에서 “쿠팡 고객의 상세 주소와 전화번호는 물론 성인용품 구매내역까지 협박 메일에 첨부됐다”며 “단순 해킹을 넘어 디지털 성범죄 수준의 중대한 프라이버시 침해”라고 강하게 질타했다.

김우영 의원이 공개한 범죄 용의자가 쿠팡 고객에게 보낸 협박 메일

<이미지를 클릭하시면 크게 보실 수 있습니다>

메일 제목부터 “유출 위험 매우 큼”…대규모 수치까지 적시

김 의원이 공개한 협박메일은 제목부터 ‘BREACH ALERT: Coupang Users’ Privacy Data is at Extreme Risk of Leak’(쿠팡 이용자 개인정보가 유출될 위험이 매우 큼)이라고 적혀 있다.

11월 25일 발송된 이 메일에는 “이 메시지는 신뢰할 수 없는 발신자로부터 왔다”는 경고 문구와 함께, “이 메일에는 이용자 개인정보가 포함돼 있으니 함부로 전달하지 말라”는 취지의 주의 문구도 포함돼 있다.

범죄 용의자는 메일에서 쿠팡 시스템에 “찾기 어렵지 않은 취약점”이 존재해 개인정보가 대규모로 유출될 수 있다고 주장했다. 한국·일본·대만 이용자가 영향을 받는다는 주장과 함께 한국에서 배송지 주소 1억2000만건 이상, 주문 데이터 5억6000만건 이상, 이메일 주소 3300만건 이상을 언급했다. 일본(신규 앱)과 대만(웹)에서도 배송지 주소 100만건 이상, 주문 440만건 이상, 이메일 45만건 이상을 거론했다.

또 쿠팡닷컴 도메인을 쓰는 이메일 주소 이용자 2959명이 있으며, 이들에게 이미 보안 알림 메일을 보냈다는 취지의 문구도 담겼다.

“내부 고발자” 자처…수정 안 하면 언론·이용자에 알리겠다

협박메일 작성자는 “AI 크롤러를 돌리다가 의도치 않게 취약점을 발견했다”며 “방대한 원천 데이터를 이용자 단위로 전부 추출할 계획은 없고 평가 목적의 아주 일부만 추출했다”고 주장했다. 이어 “개인정보는 비가역적으로 익명화할 것이며 제3자에게 공개할 의도도 없다”고 덧붙였다.

그는 스스로를 “데이터 보안 내부 고발자”라고 부르며 “목적은 쿠팡이 취약점을 가능한 빨리 수정하도록 알리기 위한 것”이라고 적었다. 다만 “취약점을 고치지 않고 이용자 개인정보를 보호하지 못하면 이용자와 언론, (가능하다면) 인플루언서에게 알리겠다”는 압박성 문구도 포함됐다.

해커가 보낸 협박메일에 첨부된 사생활 정보. 출처=김우영 의원실

<이미지를 클릭하시면 크게 보실 수 있습니다>

상세주소·전화번호에 ‘사생활 주문정보’까지…김우영 “공포 조성”

김 의원은 특히 이 협박메일에 쿠팡 고객의 상세 주소, 지역, 전화번호 등과 함께 성인용품 구매내역 같은 주문 정보가 첨부돼 있었다고 밝혔다.

김 의원은 쿠팡 측 증인인 해럴드 로저스 대표에게 “당신이 고객이라면 주문 정보가 타인에게 노출됐을 때 불쾌하고 불안하지 않겠느냐”고 물었고, 로저스 대표는 “불안하게 느낄 것”이라고 답했다. 김 의원은 “범인은 지역·상세주소·전화번호 등과 함께 사생활 정보를 붙여 협박했다”며 “노출돼서는 안 될 정보로 공포를 조성한 것”이라고 지적했다.

김 의원은 쿠팡이 “초기 데이터만 저장했고 삭제했으며 제3자와 공유되지 않았다”고 주장하는 데 대해서도 “왜 범인이 이런 정보를 첨부해 협박했는지 의도를 봐야 한다”며 “쿠팡의 중대한 약점을 쥐고 교환가치를 요구한 것”이라고 반박했다. 또 “이 메일이 다수의 쿠팡 관계자들에게 전달됐고, 2차 피해 위험을 내포한다”고 말했다.