【 청년일보 】 쿠팡 전 직원의 무단 접근으로 유출된 개인정보 규모가 정부의 초기 추정치와 유사한 3천367만여 건에 달하는 것으로 확인됐다. 범인이 열람한 배송지 정보는 1억4천800만여 차례에 이르렀다.

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 사이버 침해 사고에 대한 민관 합동 조사 결과를 잠정 발표했다. 조사단은 지난해 11월 29일부터 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량, 약 6천642억 건의 데이터를 분석한 결과, 쿠팡 '내 정보 수정 페이지'를 통해 이용자 이름과 이메일 3천367만여 건이 유출된 사실을 확인했다고 밝혔다.

이는 사건 초기 추정치였던 3천370만 건과 유사한 규모다. 다만 쿠팡이 최근 추가로 밝힌 16만5천여 계정 유출 건은 이번 조사 결과에 포함되지 않았다. 정확한 최종 유출 규모는 향후 개인정보보호위원회가 확정해 발표할 예정이다.

조사 결과, 범인은 '배송지 목록 페이지'를 통해 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호 등이 포함된 개인정보를 1억4천800만여 차례 조회한 것으로 나타났다. 이 과정에서 계정 소유자뿐 아니라 가족이나 지인 등 제3자의 개인정보도 다수 포함돼 피해 대상이 확대될 가능성도 제기됐다.

특히 공동현관 비밀번호는 '배송지 목록 수정 페이지'를 통해 5만여 차례 조회됐고, 최근 주문 상품 정보도 '주문 목록 페이지'에서 10만여 차례 열람된 것으로 조사됐다. 다만 결제 정보는 유출되지 않았으며, 주소나 공동현관 비밀번호 등이 실제 2차 피해로 이어진 사례는 현재까지 확인되지 않았다.

조사단은 이번 사고가 이용자 인증 취약점을 악용해 정상적인 로그인 절차 없이 계정에 접근한 방식으로 이뤄졌다고 설명했다. 범인은 자동화된 웹 크롤링 도구를 사용해 지난해 4월부터 11월 초까지 장기간에 걸쳐 개인정보를 수집했으며, 다수의 IP를 활용한 점도 확인됐다.

범행에 사용된 것으로 추정되는 공격자의 PC 저장장치 4대와 현재 재직 중인 쿠팡 개발자의 노트북에 대한 포렌식 조사도 진행됐다. 다만 유출된 정보가 외부 클라우드로 전송됐는지는 확인되지 않았다. 공격자의 국적이나 단독·공범 여부에 대해서는 “경찰 수사 영역”이라며 구체적 언급을 피했다.

조사단은 쿠팡이 사전에 실시한 모의 해킹에서 비정상적인 전자 출입증(토큰) 발급·사용이 공격에 악용될 수 있다는 위험이 지적됐음에도 이를 개선하지 않았다고 지적했다. 또 대규모 정보 유출이 발생하는 동안 비정상 접속을 탐지하지 못한 점도 문제로 꼽았다.

아울러 쿠팡이 침해 사고를 인지해 최고정보보호책임자(CISO)에게 보고한 시점인 지난해 11월 17일 오후 4시 이후, 24시간 이내 신고 규정을 지키지 않고 이틀 뒤인 19일 밤에 당국에 신고한 데 대해 과태료 처분을 예고했다.

과기정통부는 또 지난해 11월 자료 보전을 명령했음에도 쿠팡이 이를 이행하지 않아 약 5개월 분량의 웹 접속기록과 일부 애플리케이션 접속 기록이 삭제된 점에 대해서는 수사를 의뢰했다고 밝혔다.

조사단은 쿠팡이 정보보호 및 개인정보보호 관리체계(ISMS) 인증을 취득하고도 접근 권한별 직무 분리와 암호 정책 수립이 미흡했다고 판단하고 보완을 요구했다. 시정명령을 이행하지 않을 경우 ISMS 인증을 취소할 방침이다.

과기정통부는 이달 중 쿠팡으로부터 재발 방지 대책에 대한 이행 계획을 제출받고, 오는 7월까지 이행 여부를 점검할 계획이다.

【 청년일보=조성현 기자 】