[방송기술저널 백선하 기자] 쿠팡 전 직원이 유출한 개인정보 규모가 정부가 당초 추정하던 대로 3,300만 건을 넘어서고 범인이 들여다본 이름과 전화번호, 주소 등이 담긴 배송지 정보는 1억 5,000만 건에 달하는 것으로 파악됐다.
과학기술정보통신부는 2월 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다.
과기정통부는 지난해 11월 29일부터 12월 31일까지 쿠팡의 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6,642억 건)을 분석한 결과 쿠팡 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 3,367만여 건이 유출된 것을 확인했다. 또한 이름과 전화번호, 주소, 현관 비밀번호가 담긴 배송지 목록도 1억 4,805만 회 조회됐고, 주문 상품 정보가 담긴 주문 목록은 10만여 회 조회된 것으로 확인됐다.
조사단은 웹 및 애플리케이션 접속기록 외에 쿠팡으로부터 제출받은 공격자 개인용 PC 저장장치 4대, 현재 재직 중인 쿠팡 개발자 노트북에 대한 포렌식 분석도 진행했다.
조사단이 파악한 정보 유출 규모는 중국인 전 직원이 지난해 11월 25일 쿠팡 측에 보낸 이메일에서 주장한 유출 규모보다는 작다. 중국인 전 직원은 지난해 11월 16일과 11월 25일 두 차례 쿠팡 측에 정보를 유출했다는 이메일을 보냈는데 “1억 2,000만 개 이상의 배송 주소 데이터, 5억 6,000만 개 이상의 주문 데이터, 3,300만 개 이상의 이메일 주소 데이터를 확인했다”고 밝힌 바 있다.
조사단은 “웹 접속기록 등을 기반으로 유출 규모를 산정했다”며 향후 개인정보 유출 규모에 대해선 개인정보보호위원회에서 확정해 발표할 예정이라고 말했다.
“쿠팡 전 직원, 재직 당시 관리하던 인증 시스템 서명키로 계정에 접속”
조사단에 따르면 중국인 전 직원은 쿠팡 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계 및 개발 업무를 수행한 소프트웨어 개발자였다. 그는 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 재직 당시 관리하던 이용자 인증 시스템의 서명키를 활용해 이용자 계정에 비정상 접속한 뒤 정보를 유출한 것으로 확인됐다.
조사단은 “쿠팡이 관리하는 서명키는 ‘전자 출입증’을 발급받기 위해 사용하는 도구인 만큼 엄격한 관리 체계를 갖춰야 한다”며 “담당자가 퇴사할 경우 더 이상 사용하지 못하도록 갱신 절차가 진행돼야 하는데 관련 체계 및 절차가 미비했다”고 지적했다.
쿠팡은 이 같은 대규모 정보 유출을 인지하지 못한 것으로 조사됐다. 조사단은 정상 발급 절차를 거치지 않은 ‘전자 출입증(토큰)’이 사이버 공격에 악용될 가능성이 있다는 점이 쿠팡이 사전에 실시한 모의 해킹에서 드러난 바 있지만 쿠팡이 이를 개선하지 않았다고 했다.
이에 조사단은 쿠팡에 인증키 발급·사용 이력 관리와 비정상 접속행위 탐지 모니터링을 강화할 것과 자체 보안규정 준수 여부에 대한 정기 점검을 실시할 것을 요구했다.
“침해 사고 신고 지연에 과태료 부과”
일반적으로 침해 사고를 인지한 뒤 24시간 내에 과기정통부나 한국인터넷진흥원(KISA)에 신고해야 한다. 하지만 쿠팡은 최고정보보호책임자((CISO)에게 보고한 시점인 지난해 11월 17일 오후 4시로부터 만 이틀이 지난 19일 오후 9시 35분에 당국에 신고하며 24시간 내 신고 규정을 위반했다. 조사단은 이에 대해 과태료를 부과할 예정이다.
또, 과기정통부가 지난해 11월 19일 정보 유출 사고 원인 분석을 위해 쿠팡에 자료 보전을 명령했지만 따르지 않아 2024년 7월부터 약 5개월 분량의 웹 접속기록이 삭제되고 지난해 5월 23일∼6월 2일 앱 접속 기록이 사라진 데 대해서는 수사를 의뢰했다.
과기정통부는 이번 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 올해 7월까지 이행 결과를 점검할 계획이다.
