쿠팡 개인정보 유출 3367만명 확인…배송지 등 조회만 1억4800만건 달해
쿠팡 전 직원이 수개월간 무단 접근해 유출한 개인정보 규모가 정부의 당초 추정대로 3300만건을 넘는 것으로 확인됐다. 범인이 열람한 배송지 주소 등 개인정보 조회 횟수는 1억4800만건에 달해, 유출 범위가 더 확대될 가능성도 제기된다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고와 관련한 민관 합동 조사 결과를 잠정 발표했다.
조사 결과에 따르면 조사단은 지난해 11월 29일부터 쿠팡의 웹 접속기록 25.6테라바이트(TB), 총 6642억건의 로그 데이터를 분석한 결과 ‘내 정보 수정 페이지’를 통해 이용자 이름과 이메일 등 개인정보 3367만여 건이 유출된 사실을 확인했다. 이는 사건 초기 추정치였던 3370만건에서 소폭 줄어든 수치다.
다만 쿠팡이 최근 추가로 밝힌 16만5000여 계정 유출 건은 이번 조사 결과에는 포함되지 않았다. 조사단은 “정확한 개인정보 유출 규모는 향후 개인정보보호위원회에서 확정해 발표할 예정”이라고 밝혔다.
범행 과정에서 공격자는 ‘배송지 목록 페이지’를 통해 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 1억4800만여 차례 조회한 것으로 파악됐다. 이 정보에는 쿠팡 계정 소유자뿐 아니라 가족이나 지인에게 대신 배송한 경우의 제삼자 개인정보도 다수 포함돼 있어 피해 대상이 더 늘어날 가능성이 있다.
결제 정보는 유출 대상에 포함되지 않았으며, 주소나 공동현관 비밀번호 등이 실제 범죄로 이어진 2차 피해 사례는 현재까지 확인되지 않았다.
조사단이 확인한 유출 규모는 범인이 지난해 11월 25일 쿠팡에 보낸 이메일에서 주장한 수치보다는 적었다. 당시 그는 1억2000만개 이상의 배송 주소 데이터와 5억6000만개 이상의 주문 데이터, 3300만개 이상의 이메일 주소를 확인했다고 주장한 바 있다.
조사단은 범인이 쿠팡 재직 당시 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 맡았던 개발자로, 지난해 1월부터 인증 취약점을 발견해 공격 가능성을 시험한 뒤 지난해 4월 14일부터 본격적으로 개인정보를 무단 유출한 것으로 파악했다. 범행은 지난해 11월 8일까지 자동화된 웹 크롤링 도구를 이용해 이뤄졌고, 다수의 IP가 사용된 사실도 확인됐다.
유출된 정보가 외부 클라우드로 전송됐는지 여부는 아직 확인되지 않았다. 조사단은 공격자의 국적이나 단독·공범 여부에 대해서는 경찰 수사 영역이라며 특정하지 않았다.
조사단은 쿠팡이 인증 취약점을 악용한 대규모 무단 접근이 장기간 지속됐음에도 이를 인지하지 못했다고 지적했다. 특히 정상 절차를 거치지 않은 전자 출입증(토큰)이 사이버 공격에 악용될 가능성이 사전 모의 해킹에서 지적됐음에도 개선 조치가 이뤄지지 않았다고 밝혔다.
과기정통부는 쿠팡에 대해 인증키 발급·사용 이력 관리 강화, 비정상 접속 탐지 모니터링 고도화, 자체 보안 규정 준수 여부에 대한 정기 점검을 요구했다.
또 쿠팡이 침해 사고를 인지하고 최고정보보호책임자(CISO)에게 보고한 지난해 11월 17일 오후 4시 이후 만 이틀이 지난 19일 오후 9시35분에 당국에 신고해 24시간 내 신고 의무를 위반한 점에 대해 과태료를 부과할 방침이다.
아울러 과기정통부가 지난해 11월 19일 자료 보전을 명령했음에도 이를 이행하지 않아 2024년 7월부터 약 5개월치 웹 접속기록과 지난해 5월 23일부터 6월 2일까지의 애플리케이션 접속 기록이 삭제된 부분에 대해서는 수사를 의뢰했다.
조사단은 쿠팡이 정보보호 및 개인정보보호 관리체계(ISMS) 인증을 유지하고 있으나 접근 권한별 직무 분리와 암호 정책 수립이 미흡했다고 지적하며 보완을 요구했다. 시정명령을 이행하지 않을 경우 ISMS 인증을 취소할 방침이다.
과기정통부는 쿠팡에 재발 방지 대책 이행 계획을 이달 중 제출하도록 하고, 오는 7월까지 이행 결과를 점검할 계획이다.
정재홍([email protected])