국내 최대 이커머스 플랫폼 쿠팡에서 발생한 개인정보 유출 계정 규모가 당초 사측이 신고한 4536건이 아닌 3367만여 건인 것으로 최종 파악됐다.

또한 공격자(해커)는 쿠팡 이용자의 성명과 전화번호, 주소 등이 적힌 배송지 목록 페이지를 1억 4805만여 회 조회했으며 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만여 회, 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지는 10만여 회를 조회한 것으로 확인됐다.

과학기술정보통신부는 쿠팡 침해사고에 대한 민관합동조사단(조사단)의 조사 결과를 10일 발표했다.

조사단은 이번 사고에 대해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 제48조의4에 따라 정보통신망에 대한 침해사고의 원인을 분석하고, 유사 사고가 재발하지 않도록 재발 방지 대책을 마련했다.

조사단은 ▲쿠팡 이용자 인증체계 ▲공격 범위 및 유출 규모 파악을 위한 접속기록 ▲전사 차원의 정보보호 관리체계를 조사했다.

파악된 유출 규모는 ▲내정보 수정 페이지 성명·이메일 3367만 3817건 ▲성명, 전화번호, 주소 등 배송지 목록 페이지 1억 4805만 6502회 조회 ▲성명, 전화번호, 주소, 공동현관 비밀번호 등 배송지 목록 수정 페이지 5만 474회 조회 ▲최근 주문한 상품목록 등 주문목록 페이지 10만 2682회 조회 등이다. 개인정보 세부 유출 규모는 개인정보보호위원회에서 확정할 예정이다.

조사 결과에 따르면, 공격자는 이용자 인증 취약점을 악용해 정상적 로그인 없이 이용자 계정에 접속해 대규모 정보를 무단 유출한 것으로 확인됐다.

위·변조한 '전자 출입증'에 대한 검증 체계가 미흡해 공격자의 공격 행위를 사전에 탐지·차단하지 못했다.

모의해킹 결과로 파악한 보안 취약점 개선에 미흡했고, 공격자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후 쿠팡은 서명키를 즉시 갱신하지 않은 채 운영한 것으로 드러났다.

공격자는 지난해 1월 퇴사 전 몇 차례 사전 공격 테스트를 해본 뒤 퇴사 후 7개월 동안 본격적으로 개인정보를 탈취한 것으로 나타났다.

공격자는 재직 당시 발급 받은 서명키로 손쉽게 위·변조 '전자출입증'을 발급받았고 특별한 제한 없이 서버에 접속할 수 있었다.

공격자는 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어 개발자(Staff Back-end Engineer)로 확인됐다.

이에 과기정통부는 재발 방지 대책으로 ▲정상 발급절차를 거치지 않은 '전자 출입증'에 대한 탐지 및 차단체계 도입 ▲모의해킹에서 발견한 취약점 조치 ▲서명키 발급·폐기 등 관리 체계를 강화할 것을 주문했다.

한편, 과기정통부는 정보통신망법상 신고 지연과 자료 보전 명령 위반 사실도 확인했다.

쿠팡은 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 하지만, 정보보호 최고책임자(CISO)에게 보고한 시점으로부터 24시간이 지난 후 KISA에 신고한 사실이 확인돼, 신고 지연에 대한 과태료를 부과했다.

이와 함께 자료 보전 명령을 위반해 명령 이후에도 웹 및 애플리케이션 접속 기록을 삭제함으로써 조사를 제한한 점에 대해선 수사를 의뢰했다.

조사 결과를 토대로 과기정통부는 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 안에 제출토록 하고 내달~5월 쿠팡 측이 이행하면 6~7월 이행 여부를 점검할 계획이다.

이행 점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.

문의: 과학기술정보통신부 사이버침해조사팀(044-202-6493), 한국인터넷진흥원 위협분석단(02-405-4830)