[일문일답]"쿠팡 사태, 관리 소홀이 문제…2차 피해는 없어"

(서울=뉴스1) 나연준 이민주 기자 = 쿠팡에서 회원 3367만여 명의 개인정보가 유출된 사고와 관련해 민관합동조사단은 지능화된 공격이 아니라 '관리 소홀'이라고 선을 그었다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장은 10일 쿠팡 침해사고에 대한 민관합동조사단 조사 결과 발표 브리핑에서 "분명히 관리의 문제다. 지능화된 공격으로 보기 어렵다"고 말했다.

대규모 정보가 유출됐지만 다행히 아직 2차 피해로 이어지지는 않았다.

최 실장은 "2차 피해 부분은 현재까지 다크웹 등 다른 곳에서 확인하지 못했다"고 말했다. 또한 가장 민감한 정보 중 하나인 결제 정보 유출 의혹에 대해서도 "현재까지 조사한 사항으로는 없다"고 했다.

다음은 과기정통부, 민관합동조사단 관계자들과의 일문일답

-민관합동조사단의 결과 발표가 늦은 이유는?

▶쿠팡 측의 초기 자료 협조가 미진한 부분이 있었는데 신속하게 대응을 해왔다. 시간이 걸린 이유는 데이터가 방대했다. 기초 데이터의 양이 많았기 때문에 조사에 어려움이 있었다.

-유출과 조회로 나누어서 설명한 이유는?

▶유출, 조회에 대한 부분은 법적으로 차이가 있는 게 아니고 조회가 유출을 의미한다. 조회라고 해서 책임이 가벼워지는 것은 아니다.

-조회 유출을 굳이 나눈 이유는?

▶조회 ·유출 관련해서는 보도자료에 '조회하여 유출'로 되어 있다. 조회라고 표현한 이유는 '공격자가 페이지에 들어가는 것'을 조회라고 했다. 들어가는 순간 보시는 것처럼 고객의 정보들이 예를 들어 공격자의 PC, 노트북, 서버 쪽으로 전송되기 때문에 그렇게 표현했다. 조회하고 유출을 명확하게 설명하기 위해서 한 것이다. 기술적으로 조회하여 정확하게 유출했다는 것을 표현하기 위해 나눈 것이다.

-3367만 건의 계정을 1억 4800만 번 조회한 것은 중복 조회가 있었던 건인가?

▶3367만 건은 '내정보 수정하기' 페이지에서 정확하게 이름과 이메일로 나간 숫자를 카운팅한 부분이다. 유출은 통제권을 벗어나면 유출이다. 타인이 조회해서 가져간 것이기 때문에 통제권을 벗어나서 유출이다.

-쿠팡이 중간에 3000여 건만 저장됐다가 삭제됐다는 발표를 했었는데 이 주장의 진위 여부는 어떻게 되는 것인가? 추가 유출 16만 5000여 건은 이 3367만 건에 포함되지 않는 것인가?

▶피조사기관은 자기의 주장들을 하게 된다. 조사기관은 그러한 자료도 참고를 하지만 저희가 모든 자료를 갖다가 다시 한번 검증의 검증과 다른 자료들을 확인하는 과정이 있다. 쿠팡이 3000건을 얘기한 것은 쿠팡이 이야기한 것이다. 저희도 관련 자료들을 보지만 그거는 저희 참고 요소일 뿐이다. 저희는 쿠팡의 서버에서 외부 공격자에 의해 얼마만큼 유출이 됐는지를, 조회 ·유출이 일어났는지를 확인한 것이다.

-쿠팡이 주장한 3000건은 침해사고 범위를 축소하려는 시도로 해석될 여지가 있나?

▶피조사기관이 하는 하나의 주장일 뿐이다. 그 주장에 대해서 조사, 검증하고 체크를 해서 국민들께 투명하게 조사 결과를 발표하는 것이 조사단의 의무다. 그들이 이야기하는 부분에 대해서 저희가 평가를 하는 것이 아니고, 저희는 엄정하고 투명하게 조사할 뿐이다.

-계정 소유자 외 제3자 정보도 조회되거나 유출됐다고 하는데 회원과 비회원 피해 비중이 어떻게 되나? 최근에 쿠팡이 16만 계정 유출을 확인했다고도 추가 발표를 하는 등, 그래서 쿠팡 측과 조사단 측 규모가 여전히 상이한 것 같다.

▶과기정통부의 민관합동조사단, 개인정보보호위원회의 개인정보와 관련된 법 조사, 경찰청의 수사를 구분해 주셔야 한다. 지금 회원, 비회원, 개인정보 이런 부분은 개인정보보호법상 개인정보보호위원회가 최종적으로 판단을 하는 부분이다. 저희는 침해 사고 원인분석, 포괄적인 유출 정보 범위, 재발 방지 대책을 내는 기관이다. 구체적으로 보려면 개인정보위 발표를 기다려 주셔야 할 것 같다.

-쿠팡이 전체 회원 수 공개하지 않았는데 전 회원이 다 피해를 입은 것인가?

▶쿠팡 가입자 수는 확인이 불가능했기 때문에 판단해서 설명드리기 어렵다.

-결제 정보는 유출된 것이 없나?

▶현재까지 조사한 사항으로는 없는 것으로 알고 있다.

-공격자가 전자 출입증을 생성해서 이용자들의 개인 페이지를 하나하나 들어가서 웹 크롤링을 한 것인가? 아니면 쿠팡 내부망에서 정보를 빼낸 것인가?

▶1억 건을 사람이 들어가서 할 수는 없다. 웹 크롤링이라는 자동화된 기법을 사용했다. 공격자는 일종의 프로그램을 짜고, 어떤 주소를 입력하면 그 주소에 가서 웹페이지를 통째로 긁어와서 개인정보, 기타 정보를 추출하는 방식을 사용했다고 보면 될 것 같다.

-공격 과정에서 IP가 어떻게 구체적으로 사용된 것인가?

▶IP 숫자는 쿠팡에서 공격자가 유출할 때 사용했던 IP가 로그에 남아 있던 것을 뽑은 것이다. 추정하기로는 해커가 하나의 IP만 쓴 게 아니라 굉장히 다양한 IP를 써서 정보를 유출했다고 보시면 될 것 같다.

-웹 로그 분석 결과 접속 위치 같은 것이 확인됐나?

▶수사와 관련된 건이라서 정확하게 어떤 국가라든지 이런 것은 말씀드리기 어렵다.

-공격자는 1명이 맞는 것인가? 배후에 다른 조직은 없나?

▶수사의 영역이다. 공격자가 1명이다, 여러 명이다. 말씀드릴 수 있는 정보가 없다. 경찰 결과를 봐주셔야 할 것 같다.

-유출자가 외부 서버 전송이 가능한 공격 스크립트를 작성했는데, 의도적으로 외부 서버 전송 기능을 포함시켰다고 봐야 하나? 데이터 외부 전송이 있었는지 기록이 남아있지 않다고 했는데 이유는?

▶쿠팡으로부터 제출받은 공격자의 하드디스크와 SSD를 포렌식 했고, 거기서 공격자가 제작한 것으로 보이는 스크립트를 확인했다. 그 스크립트에 외부 클라우드와 연동하는 기능이 있었다. 정보를 가지고 오면 그쪽으로 보내는 기능이었다. 제출받은 하드디스크상 직접적으로 통신한 기록들이 남아 있지는 않았다. 남아 있지 않은 이유는 일단 로그가 일부 삭제되었을 수도 있다. 삭제의 흔적도 있는데 그게 정확하게 해당 로그라고 판단할 수 있는 것까지 안 남아 있다.

-최근까지 서명키가 개발자의 개인 노트북에 저장된 사실을 적발했다고 했는데 확인 시점이 언제인가? 지금까지 부적절하게 보관해 온 개발자, 직원 규모는 몇 명 정도인가?

▶전 재직자 부분은 실제 이번에 문제가 됐던 키가 포함된 시스템을 직접 개발할 때 참여했던 분이다. 그 팀에 여러 명이 있었던 숫자를 말씀드리기 어렵지만 그 팀에 있는 멤버들이 업무를 하는 행태를 확인했다. 조사기간 동안 노트북을 포렌식 했더니 키를 저장하고 있는 것으로 확인했다. 키 관리가 전반적으로 제대로 이루어지지 않았다는 것이다.

-쿠팡이 모의 해킹에서 보안 취약점을 파악하고도 개선이 미흡했다고 했는데 어떤 부분인가?

▶굉장히 많은 모의 해킹을 해왔고 이번에 문제가 됐던 토큰 관련해서도 여러 번 시도해서 문제점을 찾아가는 과정이 있었다. 문제를 해결하는 과정에서 근본적으로 토큰을 가지고 공격자가 할 수 있는 경로상에 있는 문제점들을 진단하고 제거를 해야 했다. 그런데 모의 해킹 한 부분에서만 집중 관리하다 보니까 관문에서 토큰을 검증하는 체계는 전혀 검토가 이루어지지 않아서 사고와 연결됐다.

-이번 사고가 관리 소홀이라고 보는 게 맞는지? 아니면 지능화된 해킹이라고 봐야 하는 것인가.

▶저희가 인증체계 관련상의 문제점도 강하게 질타를 하고 지적했다. 키 관리시스템도 지금도 제대로 안 되고 있다는 부분도 정확하게 지적했다. 분명히 관리의 문제다. 지능화된 공격으로 보기는 어려울 것 같다.

-'ISMS-P' 접근 권한별 직무 분리와 암호 정책 수립이 미흡한 걸 확인했다고 했는데 인증 취소도 검토할 수 있나?

▶ISMS 인증 기준에 미달되는 부분이 있었다. 특히 직무 분리가 미흡하고 암호키 관리 부분의 인증체계에 미흡한 부분이 있다. 통상적인 절차는 인증 기준 미달에 대해 보완조치를 요청한다. 그리고 보완조치 이후에도 개선이 안 되면 시정명령을 하고, 그래도 안 되면 취소하는 절차를 진행하고 있다. 실제 ISMS는 정보보호를 사전적으로 잘 대비하라는 체계를 갖추라는 것이다. 취약점, 미달 기준이 나왔을 때 보완하는 것을 가장 우선으로 하고 있다.

-조사 과정에서 2차 피해 사례는 없었나?

▶2차 피해 부분은 현재까지 다크웹 등 다른 곳에서 확인하지 못했다.

-정보통신망법상 신고 지연 외에 관리부실 등으로 처벌할 수 있는 법적 근거는 없나?

▶과징금은 개인정보위의 영역이다. 망법에서는 지연 신고, 재발 방지 대책 이행에 대해서 적절하지 않았고, 문제가 있다고 하면 과태료 처분을 할 수 있다. 망법에서도 침해사고에 대해서 과징금을 물릴 수 있도록 입법이 진행되고 있다. 국회에서 입법이 되고 나면 침해사고에 대해서 나중에는 과징금도 물릴 수 있는 제도가 만들어질 것 같다.

yjra@news1.kr