쿠팡 개인정보 3,367만 건 유출…배송지 1억 4,805만 회 조회 등 대규모 침해 확인

Описание: 쿠팡 개인정보 3,367만 건 유출…배송지 1억 4,805만 회 조회 등 대규모 침해 확인
“쿠팡 ‘3,000건 저장’은 주장일 뿐…서버 전수 검증해 피해 산정”
신고 지연·로그 삭제로 과태료·수사 의뢰
IP·접속국가 공개는 “수사 사안”…2차 피해는 “현재까지 확인 못해”

[etv세종=세종/이문구기자] 과학기술정보통신부는 10일 쿠팡 침해사고 민관합동조사단 조사결과를 발표하며 내정보 수정 페이지에서 성명·이메일 3,367만여 건 유출을 확인했고 배송지 목록 페이지 1억 4,805만여 회 조회 역시 통제권 밖으로 정보가 나간 ‘유출’로 본다고 밝혔다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장은 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 발표했다.

조사 결과, 내정보 수정 페이지에서 성명과 이메일 등 이용자 정보 3,367만 3,817건이 유출된 것으로 확인됐다. 또한 배송지 목록 페이지는 1억 4,805만6,502회 조회됐으며, 성명·전화번호·주소와 함께 일부 공동현관 비밀번호 정보까지 포함된 것으로 나타났다. 배송지 수정 페이지는 5만 474회, 주문 목록 페이지는 10만 2,682회 조회된 것으로 조사됐다. 최종 개인정보 유출 규모는 개인정보보호위원회가 확정할 예정이다.

공격자는 쿠팡 이용자 인증 시스템을 설계·개발했던 전 직원으로 확인됐다. 그는 재직 당시 확보한 서명키를 퇴사 이후에도 보관하고 있다가 이를 이용해 ‘전자 출입증’을 위·변조했고, 정상 로그인 절차 없이 인증 체계를 통과해 계정에 접근했다. 이후 자동화된 웹크롤링 도구를 활용해 올해 4월부터 11월까지 장기간에 걸쳐 대규모 정보를 수집한 것으로 드러났다.

조사단은 쿠팡의 보안 관리체계 전반에도 문제가 있었다고 지적했다. 위·변조된 전자 출입증을 검증하는 절차가 없었고, 모의해킹을 통해 발견된 취약점도 근본적으로 개선되지 않았다. 특히 퇴사자 발생 이후에도 서명키를 즉시 폐기하거나 갱신하지 않는 등 키 관리체계가 미흡했던 것으로 나타났다.

또한 비정상 접속이 반복됐음에도 이를 탐지·차단하지 못했으며, 접속기록 저장 기준이 일관되지 않아 피해 규모 산정에도 어려움이 발생했다. 일부 개발자가 개인 노트북에 서명키를 저장하고 있었던 사실도 확인됐다.

법 위반 사항도 드러났다. 쿠팡은 침해사고 인지 후 24시간 이내 신고해야 하는 규정을 지키지 않아 과태료 부과 대상이 됐다. 또한 정부의 자료 보전 명령 이후에도 웹과 애플리케이션 접속기록 일부가 삭제돼 수사기관에 수사가 의뢰됐다.

과기정통부는 쿠팡에 대해 위·변조 전자 출입증 탐지·차단 체계 도입과 인증 취약점 개선, 서명키 발급·폐기 관리 강화, 비정상 접속 모니터링 및 로그 관리체계 정비 등을 요구했다. 이행 계획은 2월 중 제출받아 6~7월 점검할 예정이다.

이날 브리핑에서는 발표 수치의 차이와 쿠팡의 중간 설명, ‘조회’ 표기 등을 두고 기자들의 질문이 이어졌다. 한 기자는 “이번에 발표한 3,367만 건이 당초 3,370만 건과 같은 범위인지, 쿠팡이 ‘3,000여 건만 저장됐다가 삭제됐다’고 주장한 진위는 무엇인지, 추가 유출 16만5,000여 건이 3,367만 건에 포함되는지”를 물었다.

이에 조사단은 조사 방식부터 선을 그었다. 조사단은 “피조사기관은 자기의 주장들을 하게 되고, 조사기관은 그러한 자료도 참고하지만 모든 자료를 다시 검증하고 다른 자료들을 확인한다”며 “쿠팡이 3,000건에 대해 이야기한 것은 쿠팡이 이야기한 것이고 참고 요소일 뿐”이라고 답했다. 이어 “저희는 쿠팡의 서버를 다 뒤져서 외부 공격자가 얼마만큼 조회·유출을 했는지를 확인하고 오늘 말씀드린 것”이라고 밝혔다.

수치 차이에 대해서는 “처음 3,370만 건은 초창기에 어렴풋이 본 숫자가 3,370만 정도였고 디테일하게 하나하나 뒤져 3,367만 건으로 확인됐다”며 “최종적으로 3,367만 건으로 이해해 달라”고 정리했다. 추가로 언급된 16만5,000건에 대해서는 “쿠팡이 3,367만 건 이외라고 밝혔고, 조사단도 인지하고 있었다”며 “개인정보 유출 규모는 개보위에서 최종적으로 정리될 것”이라고 말했다.

또 다른 기자는 “1.4억회 조회로 발표된 부분이 건수로 환산될 가능성이 있는지, 웹 로그 분석으로 접속 위치까지 확인되는지”를 질의했다. 조사단은 “1.4억 건을 조회했고, 조회된 정보는 유출된 것으로 보고 있다. 명확하다”고 답했다. 다만 “배송지 목록 페이지는 한 페이지에 주소가 1개인 경우도 있고 20개까지 등록할 수 있어 정보량이 복잡하다”며 “페이지에 몇 건의 개인정보가 담겼는지 세세한 건수 산정은 개보위가 발표할 부분”이라고 덧붙였다.

서명키 관리 문제도 도마에 올랐다. 기자가 “최근까지 서명키가 개발자 개인 노트북에 저장된 사실을 언제 확인했고, 규모가 어느 정도인지”를 묻자 조사단은 “조사 기간 동안 재직자의 노트북을 포렌식해 키 저장 사실을 확인했다”며 “키 이력 관리체계가 부재해 몇 명이 보관했는지 등은 말하기 어렵다”고 밝혔다. 이어 “내부자(퇴사자)로 인한 주요 정보 탈취 위협 대응체계가 부재했다는 것이 핵심 지적”이라고 설명했다.

‘조회’와 ‘유출’ 표현이 혼란을 준다는 지적에는 조사단이 “조회하는 순간 정보가 통제권 밖으로 나가기 때문에 조회도 유출”이라며 “배송지 페이지는 구조가 복잡해 현재는 페이지 조회 수(1.48억회)를 기준으로 유출을 설명했고, 정확한 개개 건수는 개보위가 발표할 숫자”라고 재차 강조했다. 임정규 조사단장은 “내정보 수정 페이지는 한 페이지에 이름 1개, 이메일 1개가 명시적으로 나오지만 배송지 목록은 1개에서 20개까지 달라 페이지를 1단위로 본 것”이라고 보탰다.

쿠팡의 ‘2차 피해 없다’는 주장에 대해서도 질문이 나왔다. 조사단은 “현재까지 다크웹 등에서 확인하지 못했다”고 답하면서도, IP 접속지나 국가 추정은 “수사 연계 사안”이라며 공개를 제한했다. 쿠팡이 반복적으로 거론한 ‘3,000건 유출’ 수치에 대해서는 “맞다 틀리다를 말하는 것은 불필요해 보인다”며 “조사단은 서버를 꼼꼼히 뒤져 피해 규모를 산정할 뿐”이라고 말했다.

정부는 쿠팡에 위·변조 전자 출입증 탐지·차단 체계 도입, 모의해킹 취약점의 근본 조치, 서명키 발급·폐기 및 사용 이력 관리 강화, 비정상 접속 모니터링과 로그 정책 정비 등을 재발 방지 대책으로 요구했다. 대규모 플랫폼에서 내부자 위험과 인증 체계 결함이 결합될 경우 피해가 장기화될 수 있다는 점에서, 이번 조사 결과는 기업 보안 거버넌스의 실효성을 다시 묻는 계기가 되고 있다.

기자 질문&답변 등 보다 자세한 내용은 영상을 통해 확인할 수 있다.

#쿠팡 #개인정보3367만건유출 #배송지1억4805만회조회 #etv세종 #과학기술정보통신부 #최우혁정보보호네트워크정책실장 #이동근민관합동조사단부단장 #임정규민관합동조사단장 #쿠팡2차피해 #유출 #서버전수검증 #신고지연 #로그삭제 #과태료 #수사의뢰