[이슈] 정부, 쿠팡 합동조사 결과 발표…3367만명 배송지 등 1억4800만건 정보유출

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 10일 서울 종로구 정부서울청사에서 쿠팡 침해사고 민관합동조사단 조사결과를 브리핑하고 있다 [사진=연합뉴스]

과학기술정보통신부가 주축이 되어 구성된 민관 합동 조사 결과 지난해 쿠팡에서 발생한 개인정보 유출 규모는 당초 추정대로 3000만건을 넘어서는 것으로 파악됐다. 범인이 들여다본 정보는 무려 1억5천만건에 달했다. 앞서 쿠팡이 지난해 말 3천여건이 유출됐다고 발표한 자체 조사 결과와 큰 격차다.

민관합동조사단은 10일 이같은 내용을 포함한 조사 결과를 발표했다. 이제 범인에 대한 수사와 2차 피해 여부는 경찰의 손으로 넘어간다. 중국인으로 추정되는 범인의 신병을 확보하기 위해 중국 공안의 협조가 필요한데 최근 국가수사본부장이 공안을 방문한 것으로 알려지며 수사 공조가 이뤄질지 관심이 모아진다.

전 직원, 수개월간 개인정보 무단 접근

24시간 신고 의무 위반에 과태료…자료 삭제는 수사 의뢰

과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고에 관한 민관 합동 조사 결과를 잠정 발표했다.

과기정통부는 지난해 11월 29일부터 남아있는 쿠팡의 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6천642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름, 이메일 3367만여 건이 유출된 것을 확인했다.

민관합동조사단은 사건 초기 쿠팡 개인정보 유출 규모가 3370만건이라고 추정했는데 추가 조사 결과 3367만여 건으로 파악했다.

여기에 쿠팡이 최근 추가로 밝힌 16만5천여 계정 유출 건은 포함되지 않았다.

조사 대상에는 범행에 쓰인 것으로 추정되는 공격자의 PC 저장장치 4대가 포함됐고 현재 재직 중인 쿠팡 개발자 노트북도 포렌식 조사했다.

특히 범인은 '배송지 목록 페이지'에서 이름, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 1억4800만여 차례 조회한 것으로 파악됐다. 

이 정보에는 쿠팡 계정 소유자 본인 외에도 물품을 대신 구매해 배송한 가족, 친구 등의 이름, 전화번호, 배송지 주소 등 제삼자 정보도 다수 포함돼 있어 정보 유출 대상자 범위가 확대될 가능성이 있다.

2차 범죄에 악용될 우려가 컸던 공동현관 비밀번호는 '배송지 목록 수정 페이지'를 통해 이름, 전화번호, 주소와 함께 5만여 건 조회됐다.

최근 주문한 상품 목록은 '주문 목록 페이지'에서 10만여 차례 조회됐다.

조사단은 범인이 쿠팡에서 시스템 장애 시 백업을 위한 이용자 인증 시스템 설계를 맡은 개발자였다며 지난해 1월부터 쿠팡 서버의 인증 취약점을 발견하고 공격 여지를 시험한 뒤 지난해 4월 14일부터 본격적인 무단 유출에 나섰다고 전했다.

범인은 지난해 11월 8일까지 자동화된 웹 크롤링 공격 도구를 이용해 이용자들의 개인정보를 수집했다. 정보 유출에 다수의 IP가 사용된 것도 확인됐다.

유출한 정보를 외부 클라우드로 전송했는지 여부는 확인되지 않았다.

조사단은 이용자 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 접속, 대규모 정보 유출을 했는데도 쿠팡 측이 이를 인지하지 못했다고 지적했다.

또, 정상 발급 절차를 거치지 않은 '전자 출입증(토큰)'이 사이버 공격에 악용될 가능성이 있다는 점이 쿠팡이 사전에 실시한 모의 해킹에서 드러난 바 있지만 쿠팡이 이를 개선하지 않았다고 했다.

조사단은 쿠팡에 인증키 발급·사용 이력 관리와 비정상 접속행위 탐지 모니터링을 강화할 것과 자체 보안규정 준수 여부에 대한 정기 점검을 실시할 것을 요구했다.

아울러, 쿠팡이 사이버 침해 사고를 인지하고 최고정보보호책임자((CISO)에게 보고한 시점인 지난해 11월 17일 오후 4시보다 만 이틀이 지난 19일 오후 9시 35분에 당국에 신고하며 24시간 내 신고 규정을 위반한 데 대해 과태료 처분할 계획이다.

또, 과기정통부가 지난해 11월 19일 정보 유출 사고 원인 분석을 위해 쿠팡에 자료 보전을 명령했지만 따르지 않아 2024년 7월부터 약 5개월 분량의 웹 접속기록이 삭제되고 지난해 5월 23일∼6월 2일 애플리케이션 접속 기록이 사라진 데 대해서는 수사를 의뢰했다.

조사단은 쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS)을 취득하고도 접근 권한별 직무 분리와 암호정책 수립을 미흡하게 한 점을 확인하고 보완을 요청했다. 쿠팡이 보완 미비에 다른 시정명령을 이행하지 않을 경우 인증을 취소할 방침이다.

과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 중으로 제출하도록 하고 올해 7월까지 이행 결과를 점검할 계획이다.

[그래픽=연합뉴스]

범인 수사는 경찰 영역…2차 피해도 미확정

국가수사본부장, 중국行…공안과 쿠팡 범인 송환 논의 하나

이날 조사단은 범인의 구체적 신원과 국적 등은 "경찰이 수사할 영역"이라며 밝히지 않았다. 

이에 따라 범인의 신원은 현재 이번 침해사고와 관련된 증거물 분석 등 수사를 진행 중인 경찰이 향후 공개할 것으로 보인다. 

또한 조사단은 쿠팡 개인정보 유출에 따른 2차 피해도 아직 확인되지 않았다고 밝혔다.

이번 조사의 초점이 사고 원인 분석과 재발 방지 방안 마련에 맞춰져 있는 것으로 관측되는 대목이다. 조사단은 이번 사고 원인을 정보통신망법 제48조 제4항에 따라 분석하고 유사 사고 재발 방지 대책을 마련했다는 설명도 내놨다.

현재 쿠팡은 개인정보 유출 외에도 PB(자체브랜드) 상품 검색 순위 조작 의혹, 노동자 과로사와 불법 파견 논란, 내부거래 의혹 등에 대한 수사를 받고 있다.

지난 6일에는 국회 위증 혐의로 고발된 해롤드 로저스 쿠팡 한국법인 임시 대표가 서울경찰청 광역수사단 반부패수사대에 출석해 약 14시간 조사를 받았다.

중국인으로 추정되는 범인의 신병 확보도 추진 중인 것으로 보인다. 경찰은 중국 국적 전직 직원 A씨를 피의자로 입건한 상태다.

현재 검찰도 A씨에 대해 한국 법원으로부터 체포영장을 발부받아 국제형사경찰기구(ICPO·인터폴)에 적색수배를 요청해 놓았다.

이런 가운데 박성주 국가수사본부장이 보이스피싱 범죄 정보공유, 범죄수익 추적, 국외도피사범 검거 등 실질적 공조 수사 방안을 논의하기 위해 9일부터 2박 3일간 중국 공안부를 방문해 눈길을 끈다. 

이에 양측 수사 당국이 개인정보 유출 사건 피의자로 지목된 중국인 퇴사자에 대한 송환 등을 논의할 가능성도 일각에서 제기된다.

[폴리뉴스 김승훈 기자]