쿠팡 전 직원이 유출한 개인정보 규모가 정부 당초 추정대로 3300만건을 넘어서고 범인이 들여다본 배송지 주소 등의 정보는 1억5000만건에 달하는 것으로 파악됐다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동조사 결과를 잠정 발표했다. 이날 조사 결과에 따르면 공격자는 재직 당시 이용자 인증 시스템 설계·개발에 참여했던 소프트웨어 개발자로 관리하던 서명키를 확보해 전자 출입증(토큰)을 위변조하는 방식으로 정상 로그인 없이 퇴사 이후에도 내부 시스템에 접근했다. 시스템 구조와 백업 인증 체계를 숙지한 상태에서 취약점을 활용한 것으로 파악됐다.
그는 지난해 1월 취약점 시험을 시작해 4월부터 자동화 웹 크롤링 도구로 정보 수집을 진행했다. 이어 11월 8일까지 개인정보 조회·유출을 지속했다. 같은 달 영어 협박 메일을 두 차례 발송하기도 했다.
조사단이 25.6TB(테라바이트) 분량의 웹 로그를 분석한 결과 ‘내 정보 수정 페이지’를 통해 이름과 이메일 3367만여 건이 유출된 것으로 확인됐다. 배송지 목록 페이지에서는 이름·전화번호·주소 등 정보가 1억4800만여 차례 조회됐고 배송지 수정 페이지 약 5만 건, 주문 목록의 10만여 차례 열람도 확인됐다. 배송 정보에는 제삼자 정보도 포함돼 유출 대상 확대 가능성이 제기된다. 최종 유출 규모는 개인정보보호위원회가 확정할 예정이다.
조사단은 쿠팡의 대응 미흡도 지적했다. 토큰 취약점이 모의 해킹에서 확인됐음에도 개선하지 않았고 이상 접속 탐지에도 실패했다는 것이다. 또한 조사단은 침해 인지 후 신고 지연으로 과태료 처분을 예고했으며 자료 보전 명령 이후 일부 로그 삭제 사실에 대해서는 수사를 의뢰했다.
정부는 인증키 관리 강화와 모니터링 개선 등 재발 방지 계획 제출을 요구했으며 이행 여부를 오는 7월까지 점검할 방침이다. 다만 범인 신상, 최종 유출 규모, 법 위반 여부는 확정되지 않아 논란의 여지는 남았다.
발표 시점을 두고는 미국 하원 조사 움직임과 맞물린 것 아니냐는 해석도 나온다. 미국 하원 법사위원회가 쿠팡 사태와 관련해 청문 절차에 착수한 가운데 정부가 조사 결과를 선제적으로 공개한 배경에 관심이 쏠린다. 정부가 조사 주도권과 객관성을 대내외에 강조하려 했다는 관측이 업계에서 조심스럽게 나온다.
과기정통부는 “개인정보보호위원회와 경찰청이 추가 조사와 수사를 진행 중이며 관련 부처도 소관 사안을 검토하고 있다”고 밝혔다.
정희원 기자 happy1@segye.com
