쿠팡 개인정보 유출 피해 규모가 민관합동조사단이 발표한 3367만건보다 확대될 가능성이 제기되고 있다. 현재 공개된 수치는 계정 기준으로 산정된 것이며 배송지에 포함된 제3자 개인정보와 추가 신고 건 등이 반영되지 않았기 때문이다.



10일 과학기술정보통신부 민관합동조사단에 따르면 쿠팡 ‘내 정보 수정 페이지’에서 이용자 성명과 이메일이 포함된 개인정보 3367만3817건이 유출된 것으로 확인됐다. 이는 동일 계정의 성명과 이메일을 하나로 묶어 집계한 것으로 중복 계정은 제외된 수치다. 다만 일부 이용자가 복수 계정을 보유했을 가능성은 남아 있다.



조사단은 공격자가 ‘배송지 목록 페이지’를 통해 이름, 전화번호, 주소와 함께 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 약 1억4800만회 조회한 사실도 확인했다. 다만 이 수치는 실제 유출 건수가 아닌 조회 횟수로 동일 이용자 정보가 반복 열람됐을 가능성이 있어 곧바로 유출 규모로 환산하기는 어렵다는 설명이다.



개인정보보호위원회 관계자는 “배송지 목록 조회 횟수가 곧 계정 유출 규모를 의미하는 것은 아니며 동일 정보가 여러 차례 조회됐을 수 있다”며 “조회 기록을 분석해 실제 유출된 개인정보 범위를 가려내야 하는 상황”이라고 밝혔다.



그러나 배송지 정보에는 계정 소유자뿐 아니라 가족이나 지인 등 제3자의 이름·연락처·주소가 포함될 수 있어 피해 범위가 확대될 가능성이 제기된다. 실제로 대리 배송 등의 경우 계정주 외 인물의 정보까지 유출 범주에 포함될 수 있다.



이와 함께 조사단은 공동현관 비밀번호가 포함된 ‘배송지 목록 수정 페이지’가 5만474회, 최근 주문 상품 정보가 담긴 ‘주문 목록 페이지’가 10만2682회 조회된 사실도 확인했다. 또한 쿠팡이 별도로 신고한 약 16만5000개 계정 관련 유출 건은 이번 발표에 포함되지 않은 것으로 전해졌다.



조사단은 개인정보 세부 유출 규모에 대한 최종 판단은 개인정보보호위원회가 맡는다고 밝혔다. 개인정보위는 배송지 및 주문 목록 조회 기록, 제3자 정보 포함 여부 등을 종합 분석해 실제 열람된 계정 수와 피해 범위를 확정할 방침이다.



개인정보위 관계자는 “조회 기록이 방대해 실제 유출 정보를 선별하는 데 시간이 필요하다”며 “추가 분석을 거쳐 정확한 규모를 발표할 예정”이라고 말했다.

