정부가 쿠팡 침해사고 조사 결과 성명·이메일 등 3300만여 건의 정보 유출이 발생했음을 확인했다. 특히 가족·지인 등의 개인정보가 담긴 배송목록 약 1억4800만건(중복포함)이 조회돼 피해자 규모는 가입자 3367만명을 웃돌 것으로 예상된다.
과학기술정보통신부는 10일 이 같은 내용을 포함한 쿠팡 침해사고 민관합동조사단의 최종 조사 결과를 발표했다.
조사단에 따르면 해커는 지난해 4월 14일부터 11월 8일까지 자동화된 웹크롤링 공격 도구로 정보를 탈취했다. 총 6642억건 데이터를 분석한 결과 △내정보 수정 페이지 3367만건 유출 △배송지 목록 페이지 1억4806만건 조회 △배송지 목록 내 수정 페이지 5만건 조회 △주문 목록 페이지 10만건 조회가 발생했다.
내정보 수정 페이지는 피해자가 건당 1명이지만, 배송지 목록 페이지는 가족·지인 등 제3자의 성명, 전화번호 주소까지 포함해 복수다. 아직 다크웹 등에 탈취된 정보가 유통되는 정황은 포착되지 않았으나 탈취 정보 간 연계성이 높다는 점에서 2차 피해 우려가 있다.
이동근 민관합동조사단 부단장은 “배송지 목록 페이지는 최대 20개 정보로 이뤄져 실제 유출된 정보는 유출건수보다 더 많을 수 있다”라며 “중복을 제외한 피해 규모는 추후 개인정보보호위원회 조사 결과 발표를 통해 확정될 것”이라고 설명했다.
조사단은 쿠팡의 관리 소홀이 대규모 침해사고를 발생시켰다고 진단했다. 해커가 전직 쿠팡 직원으로 이용자 인증 시스템 설계·개발 업무를 담당할 때 인지한 서버의 인증 취약점을 악용했기 때문이다.
해커는 서버 접속에 필요한 계정(ID/PW)이 없었지만 재직 당시 관리하던 '이용자 인증 시스템 서명키'로 시스템에 접속했다.
조사단은 쿠팡 내부 규정은 서명키를 개발자 PC 등에 저장하지 않도록 규정하고 있지만 지켜지지 않고 있음을 확인했다고 전했다. 담당자 퇴사 이후 서명키 갱신 등 후속 절차가 이뤄지지 않아 보안에 허점이 발생했다고 설명했다.
또 장기간 해커가 비정상 접속행위를 반복했음에도 로그 저장관리 정책 미흡과 허술한 모니터링 시스템으로 인해 감지하지 못했다는 점을 지적했다.
조사단은 쿠팡이 침해사고 신고 지연, 자료보전 명령 위반 등의 법 위반 사항이 있다고 봤다. 침해사고는 이를 인지한 후 24시간 이내 신고해야 하지만 이를 경과한 것으로 조사되면서 정보통신망법에 따른 과태료 부과가 예고됐다. 또 침해사고 원인분석을 위한 과기정통부의 자료보전 명령을 이행하지 않아 일부 데이터가 소실되면서 이에 따른 수사도 진행 중이다.
쿠팡은 이달 중 이행계획서를 제출해야 한다. 과기정통부는 6~8월 이행여부를 점검하고 필요시 추가 시정조치를 명령할 방침이다.
최우혁 과기정통부 정보보호네트워크정책실장은 “쿠팡 침해사고는 지능화된 공격이 아닌 기업 내 관리와 통제의 문제”라며 “국회에서 추진 중인 정보통신망법 개정이 이뤄진다면 제재를 더욱 강화할 수 있을 것”이라고 말했다.
박진형 기자 jin@etnews.com
