쿠팡 개인정보 유출 사고 조사 결과, 총 3367만여 건의 이용자 정보가 유출된 것으로 확인됐다. 정부는 이번 사고가 쿠팡의 정보보호 관리체계 미흡에서 비롯됐다고 보고 있다.
과학기술정보통신부는 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고에 관한 민관합동조사단의 조사 결과를 발표했다. 조사단은 지난해 11월29일부터 12월31일까지 쿠팡 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6642여억 건)을 분석했다.
조사단은 쿠팡으로부터 제출받은 공격자 PC 저장장치 4대(HDD 2대, SSD 2대)와 현재 재직 중인 개발자 노트북을 포렌식 조사했다. 이어 정보통신망법에 따른 정보보호조치에 관한 지침, 정보보호 및 개인정보보호 관리체계인증(ISMS-P) 기준, 쿠팡 자체규정 등에 대한 준수 여부를 포함해 전사 차원의 정보보호 관리체계를 점검했다.
조사 결과, ‘내정보 수정 페이지’를 통해 이름과 이메일이 포함된 이용자 정보 3367만3817건이 유출된 것으로 확인됐다.
또 ‘배송지 목록 페이지’에서는 이름, 전화번호, 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보가 1억4805만6502회 조회된 사실이 드러났다. 조사단은 이 같은 조회 행위 자체가 정보 유출에 해당한다고 설명했다.
배송지 목록에는 계정 소유자 외에도 가족이나 지인 등 제3자의 성명과 연락처, 주소 정보가 다수 포함돼 있어 실제 피해 대상 범위가 확대될 가능성도 제기됐다. 이 밖에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만474회, 최근 주문 상품 정보가 포함된 주문 목록 페이지는 10만2682회 조회된 것으로 나타났다.
이날 브리핑을 진행한 최우혁 과기정통부 정보보호네트워크정책실장은 “유출과 조회에 대한 부분은 법적으로 차이가 있는 것이 아니고 조회가 유출을 의미한다”라며 “조회라고 해서 책임이 가벼워지는 부분은 아니다”라고 설명했다.
이어 “조사단은 인증체계 관리, 키 관리시스템의 문제점에 대해 강하게 질타하고 지적했다”라며 “이는 분명히 관리의 문제로 지능화된 공격으로 보기는 어려울 것”이라고 덧붙였다.
조사단은 공격자가 쿠팡 재직 당시 이용자 인증 시스템 설계‧개발 업무를 수행하면서 인증체계와 키 관리체계의 취약점을 인지한 것으로 판단했다. 지난해 1월 공격 테스트를 진행한 접속 기록이 확인됐으며 4월14일부터 본격적인 무단 유출을 시작했다.
공격자는 지난해 11월8일까지 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 총 2313개 IP를 이용했다. 다만 외부 클라우드로 실제 전송했는지 여부는 기록이 남아있지 않아 확인할 수 없다.
조사단은 동일한 서버사용자 식별번호를 반복적으로 사용했고, 위‧변조된 ‘전자 출입증’을 활용한 비정상 접속행위가 발생했음에도 쿠팡은 정보유출을 탐지‧차단하지 못했다고 지적했다.
또 접속기록(로그)를 일관된 기준 없이 저장‧관리해 피해 이용자 식별 및 정보유출 규모 산정에 어려움이 발생했다고 짚었다.
조사단은 쿠팡에 인증키 발급‧사용 이력 관리와 통제 체계 강화 등 운영관리 기준을 명확히 하고 상시 점검을 실시할 것과 정상 발급절차를 거치지 않은 전자 출입증에 대한 탐지 및 차단 체계 도입을 요구했다. 이어 비정상 접속행위 탐지 모니터링을 강화하고, 사고원인 분석 및 피해규모 식별 등 목적에 맞는 로그 저장관리 정책 수립 및 정비 등을 재발방지 대책으로 제시했다.
아울러 쿠팡은 사이버 침해 사고를 인지하고 최고정보보호책임자(CISO)에게 보고한 시점으로부터 24시간이 지난 후 당국에 신고했다. 정보통신망법에 따라 24시간 내 신고 규정을 위반한 데 대해 과태료를 처분할 계획이다.
또 과기정통부는 지난해 11월19일 쿠팡에 침해사고 원인 분석을 위해 자료보전을 명령했으나 따르지 않았다. 쿠팡은 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아 2024년 7월부터 약 5개월 분량의 웹 접속기록이 삭제됐으며 애플리케이션 접속기록도 지난해 5월 23일부터 6월 2일 간의 데이터가 지워졌다.
이에 조사단은 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰했다.
또, 과기정통부가 지난해 11월19일 정보 유출 사고 원인 분석을 위해 쿠팡에 자료 보전을 명령했지만 따르지 않아 2024년 7월부터 약 5개월 분량의 웹 접속기록이 삭제되고 지난해 5월23일∼6월2일 애플리케이션 접속 기록이 사라진 데 대해서는 수사를 의뢰했다.
과기정통부는 조사 결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 올해 7월까지 이행 결과를 점검할 계획이다.
최 실장은 “조사단은 한 번도 법과 원칙에 벗어난 적이 없으며 어떤 기업도 차별한 적이 없다”라며 “결과는 나오는 대로 신속하게 투명하게 공개하겠다는 원칙을 SK텔레콤 조사 때부터 분명히 밝히고 실천해 오고 있다”라고 말했다.
향후 개인정보 유출 규모는 개인정보보호위원회 측에서 확정 발표할 예정이다.
