현관 '비번' 털고 배송지 1.5억회 조회…쿠팡 3367만명 정보유출

(서울=뉴스1) 이민주 기자 = 전직 쿠팡 직원에 의한 정보통신망 침해사고로 인해 '내정보 수정' 페이지 내 가입자 이름과 이메일 정보 등 3367만 건이 유출된 것으로 확인됐다.

전화번호와 주소 등이 포함된 '배송지 목록'은 1억 4000만 회 조회됐고 공동현관 비밀번호가 남아있는 '배송지 목록 수정 페이지'는 5만여 회 조회된 것으로 파악됐다.

쿠팡은 위변조한 '전자 출입증'에 대한 검증 없이 이를 활용하고 있었다. 퇴사자에 대한 서명키 갱신도 즉각적으로 이뤄지지 않아 공격자는 자신의 서명키를 그대로 사용해 정보에 접근했다.

과학기술정보통신부는 10일 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 과기정통부는 지난해 11월 30일 민관합동조사단을 구성해 법과 원칙에 따라 피해현황, 사고원인 등을 조사했다.

조사단은 공격자가 악용한 쿠팡의 이용자 인증체계를 정밀 분석하고 공격 범위 및 유출 규모를 파악하기 위해 웹 및 애플리케이션 접속기록(로그) 등 관련 자료에 대한 종합적인 분석을 실시했다.

조사단이 쿠팡의 웹 접속기록(로그)을 분석한 결과 공격자는 쿠팡의 내정보 수정 페이지의 성명, 이메일, 배송지 목록 페이지의 성명, 전화번호, 주소, 공동현관 비밀번호 정보, 주문 목록 페이지 등을 유출했다.

세부적으로 내정보 수정 페이지에서 성명, 이메일이 포함된 이용자 정보 3367만 3817건이 유출됐다.

공격자는 또 배송지 목록 페이지를 1억 4805만 6502회 조회해 정보를 유출했다. 이 페이지에는 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함됐다.

배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 다수 포함됐다.

성명, 전화번호, 배송지 주소 외에 '공동현관 비밀번호'가 포함된 배송지 목록 수정 페이지는 5만 474회, 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지는 10만 2682회 조회됐다.

조사단은 웹 접속기록 등을 기반으로 유출 규모를 산정하였으며, 향후 개인정보 유출 규모에 대해서는 개인정보보호위원회에서 확정하여 발표할 예정이다.

사고 원인은 쿠팡 서버의 이용자 인증 취약점이라고 분석했다.

조사단이 정보유출 경로를 분석한 결과, 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출했음을 확인했다.

퇴사자인 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 '전자 출입증'을 위·변조해 쿠팡 인증체계를 통과했다. 그는 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있었다.

통상 관문서버는 인증절차를 통해 '전자 출입증'이 정상적으로 발급된 이용자에 한해서 접속을 허용해야 하며, 출입증이 위·변조되었는지에 대해서도 확인해야 한다. 조사 결과, 쿠팡에는 관련 확인 절차가 부재했다.

또 직원이 퇴사할 경우 해당 서명키를 더 이상 사용하지 못하도록 갱신 절차가 진행돼야 하나, 관련 체계 및 절차가 미비했다.

관련 사실을 파악한 공격자는 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 공격자는 총 2313개 IP를 이용했다.

조사단은 이용자 인증체계 문제점 등에 대한 재발 방지 대책 마련을 주문했다. 3~5월까지 이행여부를 7월까지 점검할 계획이다.

조사단이 쿠팡에 통지한 내용은 △키 관리(발급/사용 이력관리)·통제 체계 강화 및 운영관리 기준 명확화 △상시 점검 △비정상 접속행위 탐지 모니터링 강화 비정상 접속행위 탐지 모니터링 강화 △사고원인 분석 및 피해 규모 식별 등 목적에 맞는 로그 저장관리 정책 수립 및 정비 △자체 보안규정 준수 여부에 대한 정기 점검 실시 등이다.

법 위반 사항에 대해서는 정보통신망법에 따른 과태료를 부과할 예정이다.

쿠팡은 침해사고를 인지한 후 정보보호 최고책임자(CISO)에게 보고한 시점으로부터 24시간이 지난 후 KISA에 신고했다. 법에서는 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고하도록 규정하고 있다. 법 제76조에 따라 3000만 원 이하 과태료 부과 대상이다.

쿠팡이 일부 웹 접속기록을 삭제한 것에 대해서는 정보통신망법에 따라 수사기관에 수사를 의뢰한다. 쿠팡은 자료보전 명령에도 불구하고 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아, 2024년 7월부터 11월 분량의 웹 접속기록이 삭제됐다.

과기정통부는 "조사 결과를 토대로 쿠팡에 2월 내로 재발 방지 대책에 따른 이행계획을 제출토록 하고 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획"이라며 "점검 결과 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획"이라고 했다.

minju@news1.kr