쿠팡 개인정보 유출 사고는 전자서명키가 악용돼 발생했으며, 지난 6월 24일~11월 8일까지 공격이 이뤄진 것으로 파악됐다.
2일 국회 과학기술정보방송통신위원회(과방위)에서 류제명 과학기술정보통신부 2차관은 "지난해 7월부터 올 11월까지 전수 로그분석을 실시한 결과 3000만개 이상 계정에서 개인정보가 유출됐다"며 "공격식별 기간은 지난해 6월 24일부터 11월 8일까지"라고 밝혔다.
이어 "공격자는 로그인없이 고객정보를 여러 차례 비정상으로 접속해 유출했다"며 "이 과정에서 쿠팡서버 접속시 이용되는 인증용 토큰을 전자서명하는 암호키가 사용됐다"고 설명했다.
퇴사한 중국인 인증 담당자가 개인정보를 유출했다는 의혹에 대해 류 차관은 "공격자의 신상정보는 경찰수사로 확인이 필요하다"며 "확인이 필요한 미상자가 쿠팡 측에 메일을 보내 이메일, 배송지 등 3000만건의 개인정보 유출을 주장했다"고 말했다.
앞서 쿠팡은 지난달 20일 약 4500개의 고객계정 정보가 유출됐다고 발표했다가, 이후 당국의 조사가 진행되던 지난달 29일 피해 계정의 숫자가 약 3370만개라고 다시 공지했다. 피해규모가 당초 발표보다 7200배 더 커진 것이다.
Copyright @ NEWSTREE All rights reserved.
