1 hour ago
1
쿠팡에서 발생한 대규모 개인정보 유출 사고가 보안키 관리와 이용자 인증체계 등 기본적인 보안 관리 부실에서 비롯된 것으로 드러났다. 3367만여 건의 개인정보가 유출됐을뿐 아니라 배송지 목록 페이지를 1억4000만회 조회하는 등 민감 이용자 정보가 대량으로 수집된 정황도 확인됐다.
과학기술정보통신부는 10일 민관합동조사단 조사 결과를 발표하고 이번 사고가 인증체계 취약점과 서명키 관리 부실, 사고 대응 미흡 등이 복합적으로 작용해 발생했다고 밝혔다.
조사 결과 공격자는 쿠팡의 이용자 인증체계 취약점을 악용해 정상적인 로그인 절차 없이 이용자 계정에 접근했다. 쿠팡의 관문 서버는 로그인 후 발급되는 일종의 ‘전자 출입증’을 검증해야 하지만 위·변조 여부를 확인하는 절차가 충분히 갖춰지지 않았던 것으로 나타났다. 공격자는 재직 당시 확보한 서명키를 이용해 출입증을 위조했고 이를 통해 장기간 서비스에 무단 접속할 수 있었다.
피해 규모도 당초 알려진 것보다 훨씬 컸다. 쿠팡은 최초 신고 당시 약 4500개 계정 정보기 유출됐다고 밝혔지만 조사단 분석 결과 내정보 수정 페이지에서 성명과 이메일 등 3367만여 건의 정보가 유출된 것으로 확인됐다. 또 배송지 목록 페이지는 1억4000만 회 이상 조회됐고 배송지 수정 페이지와 주문 목록 페이지에서도 각각 수만~수십만 회에 걸쳐 이용자 정보가 열람된 것으로 나타났다. 최종 개인정보 유출 규모는 개인정보보호위원회가 별도로 확정할 예정이다.
공격은 올해 4월부터 11월까지 약 7개월 동안 이어진 것으로 조사됐다. 공격자는 자동화된 웹 크롤링 도구와 2000개가 넘는 IP를 이용해 대량의 정보를 수집했으며, 일부 정보는 해외 클라우드 서버로 전송할 수 있는 기능도 갖추고 있었던 것으로 확인됐다.
조사단은 이번 사고의 핵심 원인으로 인증 구조의 허점과 함께 서명키 관리 실패를 지목했다. 개발자 PC에 서명키가 저장돼 있었고 발급·사용 이력 관리 체계도 미흡해 목적 외 사용 여부를 파악하기 어려웠다. 특히 공격자가 인증 시스템 개발자였음에도 퇴사 이후 서명키를 즉시 교체하지 않은 점도 주요 문제로 지적됐다. 보안 업계에서는 키 보관과 권한 분리, 주기적 교체는 기본적인 보안 원칙에 해당한다는 점에서 관리 부실의 책임이 크다는 평가가 나온다.
이 외에도 비정상 접속 행위를 탐지하지 못한 점과 로그 저장 기준이 일관되지 않아 피해 규모 산정에 어려움이 발생한 점 등 전반적인 정보보호 관리체계의 미흡함도 드러났다. 모의해킹을 통해 취약점을 인지하고도 근본적인 개선이 이뤄지지 않았던 점도 문제로 지적됐다.
사고 이후 대응 과정에서도 법 위반 사항이 확인됐다. 쿠팡은 침해사고를 인지한 뒤 24시간 이내 신고해야 하는 규정을 어기고 신고를 지연해 과태료 부과 대상이 됐다. 또 정부의 자료보전 명령 이후에도 일부 웹·애플리케이션 접속기록이 삭제돼 수사 의뢰가 이뤄졌다.
과기정통부는 쿠팡에 재발방지 대책 이행계획을 이달 중 제출하도록 하고 오는 3~5월 이행 여부를 점검할 계획이다. 점검 결과 보완이 필요한 사항이 확인될 경우 시정조치를 명령할 방침이다. 경찰과 개인정보보호위원회도 각각 수사와 별도 조사를 진행 중이다.
이영애 기자 0ae@hankyung.com
![[컨콜] KT "위약금 면제 기간 23만명 고객 떠나⋯하지만 전체적으로 순증"](https://image.inews24.com/v1/221db393d7ea82.jpg)
English (US) · 