해커 제시 유출 샘플데이터에 민감정보 다수…"다크웹 등에 불법 유통정황 없어"

(서울=연합뉴스) 김주형 기자 = 개인정보보호위원회가 11일 3천750만명의 개인정보를 유출하고, 법적 근거 없이 회원들의 온라인 활동기록을 무단 수집한 쿠팡에 과징금 총 6천246억원을 부과했다. 단일 개인정보 유출 사고에 내린 과징금 규모로는 역대 최대치로, 한 기업의 여러 위반행위에 부과한 과징금 규모로도 가장 많다. 사진은 이날 서울 쿠팡 본사 모습. 2026.6.11 kjhpress@yna.co.kr

(서울=연합뉴스) 양정우 기자 = 쿠팡의 대규모 개인정보 유출사고를 주도한 전직 직원이 쿠팡 측에 보낸 협박 이메일에는 이용자의 성인용품·속옷 구매내역 등 민감 정보가 다수 포함됐던 것으로 드러났다.

11일 개인정보보호위원회가 낸 쿠팡 제재 자료에 따르면 쿠팡 전직 직원인 공격자(해커)는 2025년 4월 14일부터 배송지 관리 및 수정 페이지, 회원정보 수정페이지 등에서 배송지 정보와 회원 개인정보를 유출했다.

또 주문 목록 페이지에 8만차례 넘게 접근해 공동현관 비밀번호와 주문정보도 빼돌렸다.

해커는 유출한 정보를 조합해 회원별 프로필을 재구성했고, 샘플 데이터를 포함한 협박 메일을 2차례 회원과 쿠팡 측에 각각 발송했다.

그는 두 번째 협박 메일에서는 한국 회원의 주소 1억2천만개와 주문정보 5억6천만개, 이메일 주소 3천3백만개 이상을 보유하고 있다는 사실과 함께 지역 및 이메일 도메인별 분류 수치를 제시했다.

[개인정보보호위원회 제공]

당시 협박 메일에 담긴 샘플 데이터에는 이용자들의 성인용품, 속옷 구매 내역 등 민감한 정보가 여럿 포함됐던 것으로 개인정보위는 파악했다.

해커가 유출한 정보 중 이런 류의 민감정보가 포함돼 있었다는 유사한 지적은 올해 2월 열린 국회 대정부 질문 과정에서 제기된 바 있다.

더불어민주당 김승원 의원은 지난 2월 11일 국회에서 열린 대정부 질문에서 쿠팡 개인정보 유출 용의자가 성인용품을 주문한 3천명을 선별해 협박했다며 해커에 의해 성인용품 주문자 리스트가 만들어졌다는 주장을 폈다.

하지만 쿠팡 측은 "공격자가 성인용품 주문 리스트를 별도로 만들어 금전 협박을 한 사실은 전혀 없다"고 부인하며 "사실과 다른 내용이 대정부질문에서 언급돼 유감"이라는 입장을 내놨다.

개인정보위는 여러 민감정보를 포함해 해커가 유출정보를 다크웹 등 외부에 공개한 정황은 현재까지 확인된 바 없다고 밝혔다.

다만, 유출된 개인정보는 언제든지 피싱, 스미싱, 스팸 등에 악용되거나 결제 피해, 금융사기 등으로 이어질 우려가 있기에 추가 피해 발생에 각별한 주의가 필요하다고 당부했다.

eddie@yna.co.kr