“공동현관 비번 5만번 조회”… 쿠팡서 지인 정보도 털렸을 가능성

‘쿠팡 정보유출’ 민관조사 결과 발표
지인 배송지 최대 20개까지 저장 가능… 비회원 이름-주소 등 추가 유출 우려
“지능형 범죄 아닌 관리 소홀 문제”… 쿠팡 “현관비번 2609건만 유출” 반박

10일 오후 서울 종로구 정부서울청사에서 최우혁 과학기술정보통신부 정보보호네트워크정책실장이 쿠팡 전 직원에 의한 정보통신망 침해사고 조사결과를 발표하고 있다. 노트북 화면에는 유출된 주문상품 정보가 띄워져 있다. 이한결 기자 always@donga.com

쿠팡 침해사고에 대한 정부 민관합동조사단의 발표 결과는 쿠팡의 ‘셀프 조사’ 내용과는 전혀 달랐다. 쿠팡은 지난해 12월 자체 조사 결과 약 3000개의 고객 정보만 유출됐다고 밝혔지만, 정부 조사에 따르면 이름, 전화번호, 주소 등 민감 정보가 포함된 페이지가 1억5000만 회가량 조회된 것으로 나타났다. 유출 정보가 해외로 흘러갔을 수 있다는 정황까지 나왔다.

● 배송지·현관 비번·주문 목록까지 민감 정보 유출

과학기술정보통신부 쿠팡 민관합동조사단은 10일 정부서울청사에서 쿠팡 개인정보 유출 사태의 정보 유출 규모와 유출 경로를 발표했다. 조사단은 지난해 4월부터 11월까지 쿠팡 웹사이트와 애플리케이션 접속기록(로그), 침해사고의 공격자로 추정되는 전 쿠팡 개발자 A 씨의 PC 저장장치를 포렌식 분석했다.

크게보기

조사 결과 이름과 이메일이 포함된 이용자(계정) 정보 3367만3817건이 유출됐다. 이보다 더 심각한 것은 공격자가 이름, 전화번호, 주소 등 민감 정보가 담긴 ‘배송지 목록 페이지’가 총 1억4805만6502회 조회됐다는 점이다. 배송지 목록에는 사용자 주소뿐 아니라 가족이나 지인의 주소를 최대 20개까지 저장할 수 있어 쿠팡 비회원의 정보까지도 추가로 털렸을 가능성이 있다. 공동현관 비밀번호가 그대로 노출된 ‘배송지 목록 수정 페이지’ 역시 5만474회 조회됐다.

1억 건이 넘는 배송지 목록 조회 등을 두고 쿠팡 관계자는 “공격자의 페이지 조회는 3370여만 개 계정에 대한 개별 개인정보를 수집하려는 시도의 결과”라며 “조회수가 정보 유출 항목 건수를 의미하는 것은 아니다”라고 해명했다. 또 “약 3000개 계정의 데이터만을 저장한 뒤 이를 삭제했고, 접근한 계정 정보 중 공용현관 출입 코드가 포함된 사례는 2609건”이라고 덧붙였다. 반면 과기정통부는 “공격자가 3370만 개 계정에 포함되지 않는 사용자의 배송자 목록 페이지를 본 경우도 있었다”며 “타인에 의해 정보가 조회된 순간 유출이라고 봐야 한다”는 입장이다. 다만 정확한 정보 유출 건수는 향후 개인정보보호위원회가 발표할 계획이라고 밝혔다.

● 해외 서버 유출 가능성도 있어

조사단은 이 같은 대형 해킹이 지능화된 범죄라기보다는 “관리 소홀의 문제”라고 강하게 질타했다. 실제로 이번 사고는 공격자가 쿠팡의 사용자 인증 체계의 취약점을 노려 공격하면서 발생했다.

아이디(ID)와 비밀번호를 입력해 정상적으로 접속하는 경우 서버에는 일종의 ‘전자 출입증’이 발급된다. 서버에서는 이 출입증이 유효하면 접속할 수 있는 도장을 찍어 준다. 공격자는 도장 역할을 하는 ‘서명키’를 탈취한 뒤 전자 출입증을 위변조해 로그인을 하지 않고 무단으로 개인정보에 접근했다. 조사단은 쿠팡의 보안 시스템에 전자 출입증의 위변조 확인 절차가 없었고, 서명키 관리가 부실했다는 점을 지적했다. ‘전자 출입증’이 사이버 공격에 악용될 가능성이 있다는 점이 사전에 실시한 모의 해킹에서 드러난 바 있지만 쿠팡이 이를 개선하지 않았다고도 꼬집었다.

조사단은 유출된 개인정보가 해외로 흘러갔을 가능성도 있다고 밝혔다. 공격자의 PC 저장장치를 포렌식 분석한 결과 외부 서버로 전송이 가능하도록 한 흔적이 발견됐다. 김승주 고려대 정보보호대학원 교수는 “공격자가 유출한 정보를 해외 클라우드 서버로 전송할 수 있다는 것을 확인했기 때문에 수사 기관에서 향후 조사가 이뤄져야 한다”고 지적했다.

이처럼 정부가 쿠팡의 보안 관리가 미흡했다는 점을 명확히 지적했지만 현재 정보통신망법상 쿠팡에 부과할 수 있는 과태료는 쿠팡이 침해사고 인지 후 24시간 내 신고해야 한다는 의무를 위반한 데 따른 3000만 원 이하가 전부다. 개인정보 유출에 따른 과징금은 향후 개보위에서 부과한다. 김 교수는 “기업이 비협조적이거나 증거를 은폐할 경우 민관합동조사단의 조사 권한을 강화하거나 과태료를 더 높이는 정보통신망법 개정이 시급하다”고 했다.