쿠팡 개인정보 유출 사고, 결제정보·2차 피해 '미확인'

정부가 쿠팡 개인정보 유출 사고에 대한 조사 결과를 발표한 가운데 유출 정보를 악용한 2차 피해나 결제정보 유출 정황은 현재까지 확인되지 않은 것으로 나타났다. 다만 범인의 신상과 최종 유출 규모, 개인정보보호법 위반 여부와 처분 수위는 공개되지 않아 이번 발표가 사고 원인과 관리 책임을 짚은 1차 결론에 그쳤다는 평가도 나온다.

쿠팡 침해 사고에 대한 민관합동조사단(이하 조사단)은 10일 정부서울청사에서 브리핑을 열고 "현재까지 다크웹 유통 등 2차 피해 정황은 확인되지 않았으며, 결제정보 유출 역시 조사한 사항으로는 없는 것으로 파악됐다"고 밝혔다.

조사단에 따르면 지난해 11월 말부터 쿠팡의 웹 접속기록 25.6테라바이트(TB), 약 6642억 건을 분석한 결과 내 정보 수정 페이지에서 이용자 이름과 이메일 등 개인정보 3367만여 건이 유출된 사실이 확인됐다.

배송지 목록 페이지에서는 이름·전화번호·주소 등이 1억4800만여 회 조회됐고, 공동현관 비밀번호가 남아 있던 일부 배송지 관련 페이지에도 접근이 있었던 것으로 조사됐다.

이번 사고는 외부의 고도화된 해킹이 아닌 인증 체계 취약점을 악용한 내부 퇴직자 범행으로 판단됐다. 조사단은 범인이 쿠팡 재직 당시 인증 시스템 설계 및 개발 업무를 담당했던 전직 소프트웨어 개발자로 서명키 관리 부실을 악용해 정상적인 로그인 절차 없이 서비스에 무단 접속한 뒤 자동화된 크롤링 방식으로 개인정보를 수집한 것으로 파악했다.

조사단은 "공격에 다수의 IP와 스크립트가 활용됐지만, 이를 외부 해킹 공격으로 보기는 어렵다"고 설명했다.

조사단은 조회는 곧 유출이라는 법적 해석을 제시하면서도, 배송지 정보처럼 한 페이지에 복수의 개인정보가 포함된 경우 페이지마다 포함된 주소와 인원 수가 제각각이어서 실제 유출된 개인정보 건수는 산정하지 못했다고 밝혔다.

이로 인해 피해 규모를 어느 수준으로 봐야 하는지를 두고 불확실성이 남았다는 지적도 나온다. 최종 유출 규모 산정과 개인정보보호법 위반 여부는 개인정보보호위원회 판단에 맡겨진 상태다.

아울러 공격자가 개인정보를 해외 클라우드 서버로 전송할 수 있는 기능을 갖춘 스크립트를 작성한 사실은 확인됐지만 실제 외부 전송이 이뤄졌는지 여부는 관련 로그가 남아 있지 않아 확인하지 못했다고 조사단은 밝혔다. 이에 따라 2차 피해 가능성 역시 단정하기 어렵다는 평가가 나온다.

이 같은 조사 결과는 앞서 쿠팡이 자체 조사에서 개인정보가 외부로 전송된 증거는 없었다고 밝힌 내용과 본질적으로 큰 차이가 없다는 점에서 논란이 됐던 이른바 셀프조사 의혹을 완전히 해소하지는 못했다는 분석도 나온다.

조사단 역시 공격자가 외부 저장장치나 클라우드에 얼마나 많은 정보를 저장했는지, 이를 삭제했는지 여부까지는 확인하지 못했다고 밝혔다.

조사단은 이번 발표가 침해 사고의 기술적 원인 분석과 재발 방지 대책 마련에 초점을 맞춘 것이라고 설명했다. 이에 따라 쿠팡에는 재발 방지 대책 이행계획을 이달 중 제출하도록 요구하고 올해 7월까지 이행 여부를 점검할 방침이다. 형사적 책임과 과징금 부과 여부 등 최종 처분 수위는 개인정보보호위원회와 수사기관 판단을 거쳐 확정될 전망이다.

쿠팡은 "공격자의 페이지 조회는 3370여만개 계정에 대한 개별 개인정보를 수집하려는 시도의 결과로 페이지 조회 수 자체가 곧 정보 유출 규모를 의미하는 것은 아니다"라고 입장이다. 해외 클라우드 전송 여부에 대해서도 실제 데이터 전송이 이뤄졌다는 증거는 없는 것으로 파악하고 있다.

또 현재 식별이 불가능한 무효 계정 등을 추가로 파악 중으로 정확한 개인정보 유출 규모는 조사단이 아닌 개인정보보호위원회에서 최종 확정될 예정이다.