컨텐츠 바로가기

03.29 (금)

[단독] 해킹된 쿠팡 개인정보 46만건…“X동 0호, 파티용품 50개”

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
이름·전화번호·주소·상품명 등 개인정보 유출

해킹 누리집서 거래…피싱·표적 마케팅 우려

쿠팡 “정보 유출 없다”… 정보당국 신고 접수 없어


한겨레

쿠팡. <한겨레> 자료사진

<이미지를 클릭하시면 크게 보실 수 있습니다>


쿠팡에서 물품 구매 기록이 있는 사람들의 개인정보 46만건이 유출돼 해킹된 정보 거래에 사용되는 국외 누리집에서 판매되고 있다. 유료 회원 수만 약 1100만명에 이르는 국내 최대 전자상거래 업체의 개인 정보 관리 시스템에 허점이 있는 것 아니냐는 우려가 나온다. 이와 함께 유출된 개인정보를 활용한 피싱(Phishing)과 같은 온라인 사기 등 2차 피해 가능성도 있다. 유출된 개인정보는 이름, 주소, 전화번호, 상품 거래 정보 등이다.

한겨레

지난 1월25일 한 다크웹 해킹포럼 누리집에 ‘쿠팡 거래 정보’ 46만건을 거래한다는 게시글이 올라왔다. 해당 게시글에는 이름, 전화번호, 주소 등 개인정보가 담겼다. 해킹 거래 누리집 갈무리

<이미지를 클릭하시면 크게 보실 수 있습니다>


20일 <한겨레> 취재를 종합하면, 지난 1월25일 다크웹 해킹포럼 누리집에 ‘ㅇㅇlogistic DB 468000 lines’라는 제목의 데이터베이스 정보가 게시됐다. ‘러시아 소재 해커그룹’이라고 밝힌 게시자(개인정보 불법 수집·거래 행위자·이하 해커)는 실제 데이터임을 입증하기 위해 데이터베이스에 담긴 이름, 전화번호, 주소 등의 정보를 샘플 자료도 함께 올렸다.

<한겨레>는 개인정보 유출 경로 및 데이터베이스 내용의 사실 여부를 확인하기 위해 해커에게 연락해 약 1만여건의 개인정보가 담긴 샘플 데이터를 제공받았다. 해당 데이터에는 ‘2022-10-17, 황ㅇㅇ, 송도 더샵 0동 00호, 010-000-0000, oo파티용품 50개 1박스, 안드로이드 앱 주문, 배송메시지 문앞...' 형식으로 정보가 정리돼 있었다. 남성 속옷과 여성 골프 치마 등의 구매 정보가 담긴 것도 있었다. 지난해 10월17일부터 일주일 사이 물품을 구매한 사람들의 개인정보였다. 각각의 개인정보 아랫단엔 ‘쿠팡 누리집 링크’도 포함돼 있었다.

해커는 <한겨레>에 “‘무차별 대입 공격’(Bruteforce Attack·특정 암호를 풀기 위해 모든 경우의 수를 무작위로 대입하는 해킹 방법)으로 46만건의 개인정보를 얻었다”고 말했다. 그는 보안상 허점을 알도록 해킹 방식을 알려주고 해당 데이터를 삭제하는 조건으로 일부 업체에 수억원 상당의 암호화폐를 요구한 사실도 털어놨다.

한겨레

게시자를 통해 입수한 샘플 데이터. 쿠팡 거래 고객들의 이름, 주소, 전화번호, ,통관부호, 상품명 등의 개인정보가 담겨있다. 빨간 박스에 ‘쿠팡 누리집 링크’가 포함돼 있다.

<이미지를 클릭하시면 크게 보실 수 있습니다>


<한겨레>는 복수의 이커머스 보안 전문가들과 해당 데이터를 분석했다. 그 결과 해커가 제공한 데이터 샘플 양식과 쿠팡 네트워크 패킷이 동일했다. 패킷은 컴퓨터 네트워크상에서 데이터를 주고받을 때 정해 놓은 규칙으로 회사마다 다르다. 이름을 밝히지 말 것을 요청한 보안 소프트웨어 개발자 김아무개씨는 “쿠팡이 거래 뒤 입점업체들에 제공한 주문 데이터와 해커 쪽 샘플 양식이 일치한다. 쿠팡 관련 거래 정보라는 점은 분명해 보인다”며 “모든 데이터에 중국 상품명과 시에이치엔(CHN·중국) 코드가 붙어있는 걸 보면, 중국 판매상 상품을 구매한 고객들의 개인정보일 가능성이 크다”고 말했다.

이커머스 플랫폼에서 유출된 이용자 개인정보는 온라인 사기에 곧잘 활용되고 파급력도 크다. 고객 수가 많은 만큼 정보 유출 피해 규모가 클 뿐만 아니라 상품 거래 내역에 고객 취향이 드러나 있는 탓이다. 허진민 변호사(참여연대 공익법센터 소장)는 “이커머스의 경우 판매상인과 배송위탁업체 간에 정보가 오가는 과정에서 부실한 보안 관리 문제로 개인정보가 새어나갈 위험이 크다. 거래정보는 소비자의 취향 정보까지 담고 있어 표적 마케팅 등에 악용될 수 있다. 정보보호 책임자인 이커머스 업체의 무한한 관리 책임이 요구된다”고 말했다.

정보보호 당국에는 아직 쿠팡 개인정보 유출과 관련한 신고가 접수되지 않았다. 개인정보보호법에 따르면, 기업에서 정보 유출이 발생했을 때는 24시간 안에 한국인터넷진흥원과 개인정보보호위원회 등에 신고하고, 피해 당사자들에게 이를 알려야 한다.

쿠팡은 “쿠팡 누리집과 네트워크상에선 고객 개인정보가 유출되지 않았다”고만 밝혔다.

옥기원 기자 ok@hani.co.kr

▶▶움트는 봄, 한겨레의 벗이 되어주세요 [후원하기]
▶▶한겨레 네이버 구독! 최신 뉴스를 쏙쏙~▶▶마음 따뜻한 소식을 받아보세요, 뉴스레터 모아보기

[ⓒ한겨레신문 : 무단전재 및 재배포 금지]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.