쿠팡 정보유출 해커 협박 메일에 '성인용품·속옷' 구매내역도

쿠팡의 대규모 개인정보 유출사고를 주도한 전직 직원이 쿠팡 측에 보낸 협박 이메일에는 이용자의 성인용품·속옷 구매내역 등 민감 정보가 다수 포함됐던 것으로 드러났습니다.

어제(11일) 개인정보보호위원회가 낸 쿠팡 제재 자료에 따르면 쿠팡 전직 직원인 공격자(해커)는 2025년 4월 14일부터 배송지 관리 및 수정 페이지, 회원정보 수정페이지 등에서 배송지 정보와 회원 개인정보를 유출했습니다.

또 주문 목록 페이지에 8만 차례 넘게 접근해 공동현관 비밀번호와 주문정보도 빼돌렸습니다.

해커는 유출한 정보를 조합해 회원별 프로필을 재구성했고, 샘플 데이터를 포함한 협박 메일을 2차례 회원과 쿠팡 측에 각각 발송했습니다.

그는 두 번째 협박 메일에서는 한국 회원의 주소 1억 2천만 개와 주문정보 5억 6천만 개, 이메일 주소 3천300만 개 이상을 보유하고 있다는 사실과 함께 지역 및 이메일 도메인별 분류 수치를 제시했습니다.

당시 협박 메일에 담긴 샘플 데이터에는 이용자들의 성인용품, 속옷 구매 내역 등 민감한 정보가 여럿 포함됐던 것으로 개인정보위는 파악했습니다.

해커가 유출한 정보 중 이런 류의 민감정보가 포함돼 있었다는 유사한 지적은 올해 2월 열린 국회 대정부 질문 과정에서 제기된 바 있습니다.

더불어민주당 김승원 의원은 지난 2월 11일 국회에서 열린 대정부 질문에서 쿠팡 개인정보 유출 용의자가 성인용품을 주문한 3천 명을 선별해 협박했다며 해커에 의해 성인용품 주문자 리스트가 만들어졌다는 주장을 폈습니다.

하지만 쿠팡 측은 "공격자가 성인용품 주문 리스트를 별도로 만들어 금전 협박을 한 사실은 전혀 없다"고 부인하며 "사실과 다른 내용이 대정부질문에서 언급돼 유감"이라는 입장을 내놨습니다.

개인정보위는 여러 민감정보를 포함해 해커가 유출정보를 다크웹 등 외부에 공개한 정황은 현재까지 확인된 바 없다고 밝혔습니다.

다만, 유출된 개인정보는 언제든지 피싱, 스미싱, 스팸 등에 악용되거나 결제 피해, 금융사기 등으로 이어질 우려가 있기에 추가 피해 발생에 각별한 주의가 필요하다고 당부했습니다.