정부가 쿠팡 침해사고 조사 결과에 따르면, 성명, 이메일 등 3300만 건의 정보가 유출되었음을 확인했다. 특히 배송목록에는 가족, 지인 등의 개인정보가 담겨 있어 피해자 규모는 약 3367만 명으로 추정된다. 이 같은 내용을 포함한 최종 조사 결과는 과학기술정보통신부에 의해 발표되었다.
해커는 지난해 4월부터 11월까지 자동화된 웹크롤링 공격 도구를 이용해 약 6642억 건의 데이터를 탈취했다. 이로 인해 내정보 수정 페이지 3367만 건이 유출되었고, 배송지 목록 페이지에는 1억4806만 건이 조회되었으며, 주문 목록 페이지에는 10만 건이 조회되었다.
배송지 목록 페이지에는 최대 20개의 정보가 포함되어 있어 실제 유출된 정보는 더 많을 수 있다. 해커는 전직 쿠팡 직원으로부터 얻은 서버의 인증 취약점을 악용해 침해사고를 일으켰다. 쿠팡의 관리 소홀로 인해 해커가 시스템에 접속할 수 있었던 것으로 조사됐다.
조사 결과에 따르면, 쿠팡은 침해사고 발생 후 신고를 지연하고 자료를 보전하지 않아 법 위반 사항이 있다고 판단되었다. 이에 대한 과태료 부과 예고와 함께, 과기정통부의 자료보전 명령을 이행하지 않아 일부 데이터가 소실된 점으로 인해 수사가 진행 중이다.
쿠팡은 이달 중 이행계획서를 제출해야 하며, 과기정통부는 6~8월에 이행 여부를 점검하고 추가 시정조치를 명령할 예정이다. 최우혁 과기정통부 정보보호네트워크정책실장은 이번 사건은 기업 내 관리와 통제의 문제라며, 정보통신망법 개정이 이뤄진다면 제재를 더욱 강화할 수 있을 것이라고 밝혔다.