쿠팡 개인정보 유출 사고에서 범인인 중국인 전 직원의 핵심 타깃은 ‘배송지 목록’ 페이지였다. 범인은 이름, 전화번호, 배송지 주소는 물론 특수문자로 일부 비식별화된 공동 현관 비밀번호 등이 포함된 배송지 목록 페이지를 총 1억 4800만 회 조회했다. 정부는 “조회가 유출”이라며 “조회하는 순간 공격자(범인) 서버로 들어간다”고 설명했다.

10일 정부 민관합동조사단에 따르면 우선 분석 대상은 공격자의 쿠팡 접속 기록, 즉 로그 데이터 25.6TB(테라바이트)였다. 분석 결과 공격자는 2025년 4월 14일부터 11월 8일까지 약 7개월에 걸쳐 쿠팡 웹페이지를 ‘웹크롤링’ 방식으로 지속적으로 접속하며 정보를 수집했다. 웹크롤링은 사람이 일일이 페이지를 열어보는 것이 아니라 자동화된 프로그램(스크립트)을 이용해 웹페이지를 반복적으로 호출하고 그 안에 담긴 데이터를 대량으로 수집하는 기술을 말한다. 공격자는 이러한 방식으로 배송지 목록 페이지, 배송지 목록 내 수정 페이지, 주문 목록 페이지 등 개인정보가 집중된 여러 웹페이지를 조직적으로 조회했다.

문제는 공격자가 열람한 배송지 목록에 계정 소유자 본인의 정보만 담겨 있지 않다는 점이다. 쿠팡 이용자는 상품 구매 과정에서 배송지를 자유롭게 추가·수정할 수 있다. 자택은 물론 출장이나 여행 중 머무는 임시 거주지, 가족이나 지인의 집, 선물 수령지까지 모두 배송지 목록에 저장된다. 이 때문에 배송지 목록 수정 페이지에는 계정 소유자 외에도 가족·친구 등 제3자의 성명, 전화번호, 주소가 누적된다. 실제 조사 결과 공격자는 배송지 목록 수정 페이지를 5만 474회 조회했고, 이용자가 최근 주문한 상품 내역이 담긴 주문 목록 페이지도 10만 2682회 열람한 것으로 확인됐다.

이처럼 유출된 정보는 단순한 연락처 유출에 그치지 않는다. 여러 배송지 정보와 주문 기록을 결합하면 개인의 생활 반경, 이동 패턴, 인간관계까지 추정할 수 있어 스토킹·사기·표적 범죄 등 2차 피해로 이어질 가능성이 높다. 특히 배송지에 등록된 인물 중에는 쿠팡 비회원도 포함돼 있을 가능성 또한 높다. 이런 이유로 전문가들은 “쿠팡 이용을 줄이거나 이용하지 않는 것이 좋다”는 의견을 내고 있다. 김승주 고려대 정보보호대학원 교수는 “데이터 관리 체계와 접근 통제 구조가 근본적으로 개선되지 않는 한 이용자가 주문 목록을 주기적으로 삭제한다고 해서 안전이 보장되지는 않는다”며 “지금 상태에서 서비스를 계속 이용하는 것은 고쳐지지 않은 차를 타고 도로를 달리는 것과 같은 위험을 감수하는 일”이라고 경고했다.

<서지혜 기자>