인증 체계 취약점 악용해 무단 접속…고도화 해킹 아닌 내부 통제 실패배송지 조회 1.48억회도 유출 판단 … 실제 피해 규모는 개보위 몫외부 전송·2차 피해는 미확인에 "신고 지연·로그 삭제는 적발"
  • ▲ 쿠팡.ⓒ뉴데일리DB
    ▲ 쿠팡.ⓒ뉴데일리DB
    정부가 쿠팡 개인정보 유출 사고에 대한 조사 결과를 발표하면서 개인정보 유출 규모와 범행 수법, 보안 관리 부실의 윤곽이 드러났다. 정부는 쿠팡의 이용자 인증 체계와 서명키 관리 등이 전반적으로 미흡했다고 판단하고 재발 방지 대책을 요구했다.

    쿠팡 침해 사고에 대한 민관합동조사단(이하 조사단)은 10일 정부서울청사에서 브리핑을 열고 지난해 11월29일부터 남아 있던 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB), 약 6642억건을 분석한 결과 내 정보 수정 페이지에서 이용자 이름과 이메일 등 개인정보 3367만3817건이 유출됐다고 밝혔다.

    조사단은 사건 초기 개인정보 유출 규모를 약 3370만건으로 추정했으나 추가 분석을 거쳐 해당 수치를 최종 확정했다. 다만 쿠팡이 최근 별도로 공개한 16만5000여 계정의 추가 유출 건은 이번 조사 결과에는 포함되지 않았다.

    조사단에 따르면 배송지 목록 페이지에서 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호 등이 포함된 개인정보가 1억4805만6502회 조회됐다고 설명했다.

    조사단은 "타인이 해당 페이지에 접속하는 순간 개인정보가 공격자 통제권 밖으로 이동해 법적으로는 모두 유출에 해당한다"며 "조회와 유출을 구분해 책임을 달리 보지는 않는다"고 밝혔다. 다만 "배송지 페이지의 경우 한 페이지에 포함된 주소와 인원 수가 제각각이어서 실제 개인정보 유출 건수는 개인정보보호위원회가 최종 확정할 예정"이라고 덧붙였다.

    조사단은 이번 사고를 인증 체계 취약점을 악용한 내부 퇴직자 범행으로 판단했다. 조사에 따르면 범인은 쿠팡 재직 당시 이용자 인증 시스템 설계 및 개발 업무를 수행했던 전직 소프트웨어 개발자로 자신이 관리하던 인증 시스템의 서명키를 탈취해 전자 출입증(토큰)을 위변조했다.

    쿠팡 관문서버는 정상적으로 발급된 전자 출입증인지 여부를 검증·차단하는 체계를 갖추지 못했고 이로 인해 범인은 정상적인 로그인 절차 없이도 쿠팡 서비스에 무단 접속할 수 있었다. 범인은 퇴사 이후 사전 테스트를 거쳐 자동화된 웹 크롤링 방식으로 대규모 개인정보를 수집한 것으로 조사됐다.
  • ▲ 최우혁 과기정통부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과 발표 브리핑을 하고 있다.ⓒ뉴시스
    ▲ 최우혁 과기정통부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과 발표 브리핑을 하고 있다.ⓒ뉴시스
    조사단은 공격에 2313개 IP와 자동화 스크립트가 사용됐지만 이를 고도화된 외부 해킹 공격으로 보기는 어렵다고 판단했다. 인증 체계와 키 관리, 접근 권한 통제 등 내부 보안 관리 부실이 사고의 핵심 원인이라는 설명이다.

    조사 과정에서는 서명키가 키 관리 시스템이 아닌 개발자 개인 노트북에 저장돼 있던 사실도 확인됐다. 개발과 운영 권한이 분리되지 않았고 키 발급·사용 이력 관리 체계 역시 부재했다. 조사단은 모의해킹 과정에서 발견된 취약점이 근본적으로 개선되지 않은 점도 문제로 지적했다.

    공격자 저장장치에서는 외부 서버로 전송할 수 있는 기능을 포함한 공격 스크립트도 발견됐다. 다만 조사단은 "기능상 해외 클라우드 서버로의 전송이 가능했지만 실제 전송 여부는 관련 로그가 일부 삭제돼 확인할 수 없다"고 밝혔다. 이어 "현재까지 다크웹 유통 등 2차 피해 정황이나 결제정보 유출은 확인되지 않았다”며 "확인 가능한 범위 내에서는 추가 피해가 파악되지 않았다"고 설명했다.

    쿠팡의 법 위반 사항도 확인됐다. 쿠팡은 사고를 인지하고도 24시간 이내 신고 의무를 지키지 않아 정보통신망법에 따른 과태료 부과 대상이 됐다. 또 자료보전 명령 이후에도 일부 웹·애플리케이션 접속기록이 삭제된 사실이 확인돼 조사단은 해당 사안을 수사기관에 의뢰했다.

    다만 현행 정보통신망법상 처벌에는 한계가 있다는 점도 함께 언급됐다. 대규모 과징금 부과 여부와 개인정보보호법 위반 판단, 최종 처분 수위는 개인정보보호위원회 소관으로 조사 결과를 통해 확정될 전망이다.

    조사단은 "이번 발표가 사고의 기술적 원인 분석과 재발 방지 대책 마련에 초점을 맞춘 것"이라고 설명했다. 이에 따라 쿠팡에는 재발 방지 대책 이행계획을 이달 중 제출하도록 요구하고 올해 7월까지 이행 여부를 점검할 방침이다.

    한편 조사단은 이번 조사 결과가 특정 기업을 겨냥한 것이 아니라 법과 원칙에 따른 절차였다는 점도 거듭 강조했다. 조사단은 "SKT와 KT, 이번 쿠팡 조사까지 일관되게 법과 원칙에 따라 조사해 왔으며 어떤 기업도 차별한 적이 없다"며 "조사 결과는 확인되는 대로 신속하고 투명하게 공개한다는 원칙을 유지해 왔다"고 밝혔다.
  • ▲ ⓒ뉴데일리DB
    ▲ ⓒ뉴데일리DB