정부, 쿠팡 고객정보 3367만여건 유출…퇴사자 서명키 악용해 로그인 없이 인증 우회

[이데일리 권하영 기자] 정부가 쿠팡 침해사고와 관련해 웹·앱 접속 기록 등을 분석한 결과, 총 3367만3817건의 이용자 정보 유출이 확인됐다. 공격자는 이 정보를 악용해 고객의 배송지 목록과 주문 목록 페이지를 반복적으로 조회한 사실도 드러났다.

쿠팡 본사 전경. (사진=뉴시스)

과학기술정보통신부는 10일 이 같은 내용을 담은 쿠팡 침해사고 민관합동조사단 조사 결과를 발표했다. 조사단은 쿠팡의 웹·앱 접속 기록(로그) 분석을 통해 △내 정보 수정 △배송지 목록 △주문 목록 페이지에서 이용자 정보가 유출됐다고 밝혔다.

조사 결과, ‘내 정보 수정’ 페이지에서는 △성명 △이메일이 포함된 이용자 정보 3367만3817건이 유출됐다. 배송지 목록 페이지는 총 1억4805만6502회 조회됐고, 배송지 목록 수정 페이지도 5만474회 접근이 이뤄졌다. 해당 페이지에는 △성명 △전화번호 △배송지 주소 △특수문자로 비식별화된 공동현관 비밀번호가 포함돼 있었으며, 계정 소유자 외에도 가족·지인 등 제3자의 개인정보가 다수 포함된 것으로 나타났다. 최근 주문 상품 정보가 담긴 주문 목록 페이지 역시 10만2682회 조회됐다.

조사단은 웹 접속 기록을 토대로 유출 규모를 산정했으며, 최종적인 개인정보 유출 규모는 개인정보보호위원회가 확정해 발표할 예정이라고 설명했다. 개인정보위는 개인정보보호법 위반 여부를 조사 중이며, 경찰청도 증거물 분석 등 수사를 진행하고 있다.

◇쿠팡, 초기 4536개 유출 신고했으나 3000만 개 이상 확인

쿠팡은 지난해 11월 16일 이용자로부터 “개인정보 유출이 의심되는 이메일을 받았다”는 VOC를 접수받은 뒤 자체 조사를 거쳐 다음날 침해사고를 인지했다. 이후 11월 19일, 4536개 계정의 △이름 △이메일 △주소 정보가 유출됐다며 한국인터넷진흥원(KISA)에 신고했다.

그러나 KISA 현장 조사 결과, 실제 유출 규모는 최초 신고보다 훨씬 큰 3000만 개 이상의 계정으로 확인됐다. 과기정통부는 이를 중대 침해사고로 판단하고 11월 30일 민관합동조사단을 구성해 본격 조사에 착수했다.

조사단은 쿠팡의 웹·애플리케이션 로그를 종합 분석하는 한편, 공격자 PC 저장장치(HDD 2대, SSD 2대)와 현직 쿠팡 개발자 노트북에 대한 포렌식 분석도 병행했다.

공격자는 지난해 11월 16일과 25일 두 차례 쿠팡에 이메일을 보내 정보 유출 사실을 주장하며 일부 유출 데이터를 이메일 본문에 첨부했다. 그는 △1억2000만 건 이상의 배송 주소 △5억5000만 건 이상의 주문 데이터 △3300만 건 이상의 이메일 주소를 유출했다고 주장했다. 조사단은 웹 로그 분석을 통해 공격자가 실제 유출 정보 일부를 이메일에 기재한 사실을 확인했다.

◇퇴사자가 서명키 악용…로그인 없이 인증 우회

조사단에 따르면 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상 로그인 없이 이용자 계정에 접근했다. 공격자는 쿠팡 재직 당시 시스템 백업용 이용자 인증 시스템을 설계·개발했던 SW 개발자였다.

일반적으로 이용자는 로그인(ID·PW)을 거쳐 ‘전자 출입증’을 발급받고, 관문 서버가 이를 검증한 뒤 서비스 접속이 허용된다. 그러나 공격자는 재직 중 관리하던 인증 시스템의 서명키를 탈취해 ‘전자 출입증’을 위·변조했고, 이를 통해 인증 절차를 우회했다.

관문 서버는 전자 출입증의 위·변조 여부까지 검증해야 하지만, 관련 확인 절차가 마련돼 있지 않았다. 또 서명키는 퇴사 시 즉시 갱신·폐기돼야 했으나, 이에 대한 관리 체계도 미비했다. 공격자는 탈취한 서명키와 내부 정보를 이용해 지난해 1월 사전 테스트를 거친 뒤, 4월 14일부터 11월 8일까지 자동화된 웹 크롤링 도구로 대규모 정보 유출을 감행했다. 이 과정에서 총 2313개 IP가 사용됐다.

◇키 관리·모니터링 총체적 부실…법 위반도 다수 적발

조사단은 쿠팡의 정보보호 체계 전반에 구조적 문제를 확인하고 재발 방지 대책을 제시했다. 정상 발급 절차를 거치지 않은 전자 출입증에 대한 탐지·차단 체계 도입과 함께, 모의해킹으로 확인된 취약점에 대한 근본적 개선을 요구했다.

또한 쿠팡 내부 규정상 서명키는 키 관리 시스템에서만 관리해야 하나, 일부 개발자가 노트북에 서명키를 저장하고 있었고 키 사용 이력 관리 체계도 부재했다. ISMS-P 점검 결과, 개발·운영 분리 원칙이 지켜지지 않았고, 키 교체·폐기 등 세부 운영 절차도 미흡한 것으로 나타났다.

조사단은 비정상 접속 탐지 모니터링 강화와 함께, 사고 분석과 피해 규모 산정을 위한 로그 저장·관리 정책 정비, 내부 보안 규정 준수 여부에 대한 정기 점검 체계 구축이 필요하다고 결론 내렸다.

법 위반 사항도 확인됐다. 쿠팡은 침해사고 인지 후 24시간 이내 신고 의무를 지키지 않아 정보통신망법에 따른 과태료 부과 대상이 됐다. 또한 과기정통부의 자료 보전 명령에도 불구하고 일부 웹·앱 접속 로그가 삭제돼, 관련 사안은 수사기관에 수사 의뢰됐다.

과기정통부는 이번 조사단의 조사결과를 토대로, 쿠팡에 재발방지 대책에 따른 이행계획을 제출(2월)토록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.