민관합동조사단 “쿠팡 개인정보 3367만건 유출 확인”

민관합동조사단이 쿠팡의 정보통신망 침해사고 조사결과 성명, 이메일이 포함된 이용자 정보 3367만 여 건이 유출된 것을 확인했다.

민관합동조사다는 10일 쿠팡 전 직원에 의한 정보통신망 침해사고 조사결과 발표를 통해 성명·이메일 등 3367만만3817건의 개인정보 유출을 확인했다고 밝혔다. 

특히 배송지 목록 페이지에서만 1억4805만6502회 조회가 이뤄지면서 계정 소유자 본인 외에 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등이 다수 유출됐다. 배송지 목록 수정 페이지에서는 5만474회 조회가 이뤄져 성명과 전화번호, 배송지 주소 외에도 공동현관 비밀번호가 유출된 것이 확인됐다. 

이 외에도 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지만 10만2682회 조회가 이뤄졌다. 

조사단은 “웹 접속기록 등을 기반으로 유출 규모를 산정했으며 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정해 발표할 것”이라고 말했다.

조사단은 쿠팡의 정보유출 경로를 분석한 결과 쿠팡 서버 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출한 것으로 확인했다. 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 ‘전자 출입증’을 위·변조해 쿠팡의 인증체계를 통과하는 방식을 썼다.

공격자는 지난해 1월 이전 취약점을 발견하고 이를 악용한 공격 테스트를 진행, 지난해 4월부터 11월까지 2313개 IP를 통해 대규모 정보를 유출했다.

이 과정에서 쿠팡은 동일한 서버사용자 식별번호를 반복적으로 사용해 위·변조된 ‘전자 출입증’을 활용한 비정상 접속 해위를 탐지·차단하지 못한 것으로 나타났다. 

이에 따라 조사단은 쿠팡이 비정상 접속행위 탐지 모니터링을 강화하고 로그 저장관리 정책을 수립, 정비할 것을 요구했다.

이와 별개로 조사단은 쿠팡의 침해사고 신고 지연에 대해 과태료를 부과하고 자료보전 명령에도 불구하고 쿠팡이 접속기록의 자동 로그저장 정책을 조정하지 않아 약 5개월 웹 접속기록이 삭제되는 등의 자료보전 명령 위반에 대해 수사기관에 수사를 의뢰했다.

과학기술정보통신부는 이번 조사단 조사결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 이달 중 제출토록 하고 쿠팡의 이행여부를 오는 6월부터 7월까지 점검할 예정이다. 보안이 필요한 사항에 대해서는 정보통신망법에 따라 시정조치 명령을 하겠다는 계획이다.