쿠팡 침해사고 민관합동 조사결과’
전 직원이 수개월간 무단 접근
지인 개인정보까지 대상에 포함
결제정보 유출·2차 피해 없어

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 오후 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다. 연합뉴스

쿠팡 전(前) 직원에 의해 유출된 개인정보 규모가 정부가 당초 추정한대로 3300만 건을 넘어선 것으로 확인됐다. 특히, 범인이 열람한 배송지 주소 등의 개인정보 조회 횟수는 1억 5000여만 건에 달했다.

과학기술정보통신부는 10일 오후 정부서울청사에서 이 같은 내용의 ‘쿠팡 침해 사고에 관한 민관 합동 조사 결과’를 잠정 발표했다.

그러나 특정 국적 인물로 거론된 범인 신상은 공식 발표되지 않았고, 세부 유출 규모도 개인정보보호위원회가 추후 밝힐 것으로 전망되는 등 미진한 점이 남아 있다는 지적이다.

과기정통부는 지난해 11월 29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6TB(테라바이트) 분량(데이터 6642억 건)을 분석한 결과, 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3367만여 건이 유출된 것을 확인했다.

조사단은 사건 초기 쿠팡 개인정보 유출 규모가 3370만 건이라고 추정했지만, 추가 조사 결과 3367만여 건으로 파악했다. 여기에 쿠팡이 최근 추가로 밝힌 16만 5000여 계정 유출 건은 포함되지 않았다.

다만, 세부적인 개인정보 유출 규모는 공개되지 않았다. 조사단은 "웹 접속기록 등을 기반으로 유출 규모를 산정했고, 정확한 개인정보 유출 규모에 대해서는 향후 개인정보보호위원회에서 확정해 발표할 예정"이라고 했다.

‘쿠팡 침해사고에 대한 민관합동조사단 조사결과’ 정보 유출 규모 관련 내용. 과기정통부 제공

조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐고, 현재 재직 중인 쿠팡 개발자 노트북도 포렌식 조사했다.

'배송지 목록 페이지'에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억 4800만여 차례 조회해 정보가 유출된 것을 파악했다. 이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제3자 정보도 다수 포함돼 있어 정보 유출 대상자 범위가 확대될 가능성이 있다.

2차 범죄에 악용될 우려가 컸던 공동현관 비밀번호는 '배송지 목록 수정 페이지'를 통해 이름, 전화번호, 주소와 함께 5만여 건 조회됐다. 최근 주문한 상품 목록은 '주문 목록 페이지'에서 10만여 차례 조회됐다. 결제 정보는 유출 대상에 포함되지 않았고 주소, 공동현관 비밀번호 등 민감한 개인정보가 실제 2차 피해로 이어졌는지 확인된 바는 없다고 조사단은 밝혔다.

서울 시내의 한 쿠팡 물류센터. 연합뉴스

‘쿠팡 침해사고에 대한 민관합동조사단 조사결과’ 정보 유출 규모 관련 내용. 과기정통부 제공

조사단은 “범인이 쿠팡 재직 당시 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 맡은 개발자였다”며 “지난해 1월부터 쿠팡 서버의 인증 취약점을 발견하고 공격 여지를 시험한 뒤, 지난해 4월 14일부터 본격적인 무단 유출에 나섰다”고 전했다. 범인은 지난해 11월 8일까지 자동화된 웹 크롤링 공격 도구를 이용해 이용자들의 개인정보를 수집했다. 정보 유출에 다수의 IP가 사용된 것도 확인됐다.

다만, 조사단은 범인을 중국인이라고 특정해 표현하지는 않았다.

조사단은 이용자 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속, 대규모 정보 유출을 했는데도 쿠팡 측이 이를 인지하지 못했다고 지적했다. 또, 정상발급 절차를 거치지 않은 '전자 출입증(토큰)'이 사이버 공격에 악용될 가능성이 있다는 점이 쿠팡이 사전에 실시한 모의 해킹에서 드러난 바 있지만 쿠팡이 이를 개선하지 않았다고 했다.

조사단은 쿠팡에 인증키 발급·사용 이력 관리와 비정상 접속행위 탐지 모니터링을 강화할 것과 함께 자체 보안규정 준수 여부에 대한 정기 점검을 실시할 것을 요구했다. 조사단은 또 쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS)을 취득하고도 접근 권한별 직무 분리와 암호정책 수립을 미흡하게 한 점을 확인하고 보완을 요청했다. 쿠팡이 보완 미비에 다른 시정명령을 이행하지 않을 경우 인증을 취소할 방침이다.

과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 올해 7월까지 이행 결과를 점검할 계획이다.

송현수 기자 songh@busan.com