- 쿠팡 전 직원 공격으로 3,336만여건 개인정보 유출 확인된 민관 합동 조사 결과
- 배송지·전화번호·현관 비번 등 1억5천만여건 조회…신고 지연·로그 삭제로 수사 의뢰 쿠팡.

[세계뉴스 = 차성민 기자] 쿠팡 전 직원에 의한 개인정보 유출 규모가 정부의 초기 추정치와 비슷한 3,300만건을 넘는 것으로 최종 확인됐다. 범인이 열람한 배송지·연락처 등 세부 정보 조회는 1억5,000만건에 달해 피해 범위가 당초 알려진 것보다 훨씬 광범위한 것으로 드러났다.

과학기술정보통신부는 10일 정부서울청사에서 민관 합동 조사단의 쿠팡 침해 사고 조사 결과를 잠정 발표하고, “쿠팡 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 3,367만여 건이 유출된 것으로 확인됐다”고 밝혔다. 이는 조사단이 사건 초기 추정했던 3,370만건과 거의 비슷한 수준으로, 최근 쿠팡이 별도로 밝힌 16만5,000여 계정 유출 건은 포함되지 않은 수치다.

조사단은 지난해 11월 29일부터 쿠팡이 보관 중이던 웹 접속기록 25.6테라바이트(TB), 총 6,642억건의 로그를 분석해 유출 규모를 산정했다. 조사에는 범행에 사용된 것으로 추정되는 공격자 PC 저장장치 4대와 현재 재직 중인 쿠팡 개발자 노트북도 포함됐다. 다만 정확한 최종 유출 규모는 개인정보보호위원회가 확정해 별도로 발표할 예정이다.

가장 민감한 정보가 담긴 ‘배송지 목록 페이지’에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호 등이 1억4,800만여 차례 조회된 것으로 조사됐다. 쿠팡 계정 소유자 본인뿐 아니라 가족·지인 등 제3자의 이름과 연락처, 주소가 다수 포함돼 있어, 실제 정보 유출 대상자는 계정 수를 크게 웃돌 가능성이 있다.

2차 범죄 악용 우려가 컸던 공동현관 비밀번호는 ‘배송지 목록 수정 페이지’를 통해 이름·전화번호·주소와 함께 5만여 건 조회된 것으로 파악됐다. 최근 주문한 상품 내역 역시 ‘주문 목록 페이지’에서 10만여 차례 열람됐다. 결제 정보는 유출 대상에서 제외됐으며, 현재까지 주소나 공동현관 비밀번호 등이 실제 범죄로 악용된 사례는 확인되지 않았다.

조사단이 파악한 유출 규모는 범인이 지난해 11월 25일 쿠팡 측에 보낸 이메일에서 주장한 수치보다는 작다. 그는 당시 이메일에서 “1억2,000만개 이상의 배송 주소 데이터, 5억6,000만개 이상의 주문 데이터, 3,300만개 이상의 이메일 주소 데이터를 확인했다”고 주장한 바 있다.

조사 결과에 따르면 범인은 쿠팡 재직 당시 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 담당했던 개발자로, 지난해 1월부터 쿠팡 서버의 인증 취약점을 발견해 공격 가능성을 시험하다가 같은 해 4월 14일부터 본격적인 무단 유출에 나선 것으로 드러났다. 이후 지난해 11월 8일까지 자동화된 웹 크롤링 도구를 활용해 다수의 IP를 동원, 대규모 개인정보를 수집했다.

유출된 정보가 외부 클라우드 등으로 전송됐는지 여부는 아직 확인되지 않았다. 조사단은 다만 범인을 특정 국적 인물로 지칭하지 않았고, “중국인인지 여부, 공격자가 1명인지 복수인지 여부는 경찰 수사 영역”이라고 선을 그었다.

조사단은 특히 이용자 인증 취약점을 악용해 정상 로그인 절차 없이 계정에 접속해 대규모 정보 유출이 이뤄졌는데도 쿠팡이 이를 장기간 인지하지 못한 점을 문제로 지적했다. 쿠팡이 사전에 실시한 모의 해킹에서 ‘정상 발급 절차를 거치지 않은 전자 출입증(토큰)’이 사이버 공격에 악용될 수 있다는 취약점이 이미 드러났지만, 이를 개선하지 않았다는 것이다.

정부는 쿠팡에 인증키 발급·사용 이력 관리 강화, 비정상 접속 행위 탐지 모니터링 강화, 자체 보안 규정 준수 여부에 대한 정기 점검 등을 요구했다. 쿠팡이 이 같은 보완 조치를 이행하지 않을 경우, 현재 보유 중인 정보보호 및 개인정보보호 관리체계(ISMS) 인증 취소도 검토하겠다는 방침이다. 조사 과정에서 접근 권한별 직무 분리, 암호 정책 수립 등이 미흡했던 점도 확인됐다.

신고 지연과 자료 보전 미이행에 대한 제재도 예고됐다. 쿠팡은 지난해 11월 17일 오후 4시 사이버 침해 사고를 인지하고 최고정보보호책임자(CISO)에게 보고했지만, 당국에는 이틀이 지난 19일 오후 9시 35분에야 신고해 ‘24시간 내 신고’ 규정을 위반했다. 과기정통부는 이에 대해 과태료를 부과할 계획이다.

또 과기정통부가 지난해 11월 19일 정보 유출 원인 분석을 위해 자료 보전을 명령했음에도, 쿠팡이 이를 제대로 이행하지 않아 2023년 7월부터 약 5개월 분량의 웹 접속기록과 같은 해 5월 23일∼6월 2일 애플리케이션 접속 기록이 삭제된 사실이 확인됐다. 정부는 이 부분에 대해 수사를 의뢰했다.

과기정통부는 이번 조사 결과를 토대로 쿠팡에 재발 방지 대책과 이행 계획을 이달 중 제출하도록 요구했으며, 오는 7월까지 실제 이행 여부를 점검할 예정이다. 개인정보 유출 규모가 3,000만건을 훌쩍 넘고, 조회된 민감 정보가 1억5,000만건에 달하는 초대형 사고인 만큼, 향후 수사 결과와 제도 개선 논의에 이목이 쏠리고 있다.

[ⓒ 세계뉴스. 무단전재-재배포 금지]