[엠투데이 이세민 기자] 쿠팡에서 발생한 개인정보 유출 사고의 규모가 당초 추정보다 훨씬 광범위한 수준으로 확인되면서 보안 관리 체계 전반에 대한 논란이 커지고 있다.
정부 합동 조사 결과, 유출된 이용자 정보는 3천만 건을 넘어섰고 범인이 열람한 배송지 관련 정보는 1억 건대에 이르는 것으로 파악됐다.
과학기술정보통신부는 10일 정부서울청사에서 민관 합동 조사단의 잠정 조사 결과를 발표하고, 쿠팡 웹 접속 기록 약 25.6테라바이트 분량을 분석한 결과 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 등 약 3,367만 건의 개인정보가 유출된 사실을 확인했다고 밝혔다.
이번 조사에는 범행에 사용된 것으로 추정되는 공격자의 PC 저장장치와 현직 개발자의 노트북에 대한 포렌식 분석도 포함됐다.
조사 결과 ‘배송지 목록 페이지’에서는 이름과 전화번호, 배송지 주소, 공동현관 비밀번호(특수문자 처리된 형태) 등이 포함된 정보가 약 1억 4,800만 회 조회된 것으로 나타났다.
해당 정보에는 계정 소유자뿐 아니라 가족이나 지인 등 제3자의 배송 정보도 다수 포함돼 있어 실제 피해 대상 범위가 더 확대될 가능성도 제기된다.
여기에 최근 쿠팡이 추가로 밝힌 16만5천여 계정 관련 유출 건은 이번 잠정 집계에 포함되지 않은 것으로 전해졌다.
공동현관 비밀번호와 관련된 정보는 ‘배송지 목록 수정 페이지’를 통해 약 5만 건 조회됐고, 최근 주문 내역 역시 ‘주문 목록 페이지’에서 10만 회 이상 열람된 것으로 조사됐다.
조사단은 정확한 최종 유출 규모는 개인정보보호위원회가 추가 검증을 거쳐 확정 발표할 예정이라고 설명했다.
이번 사고는 쿠팡 전 직원이 이용자 인증 시스템 취약점을 악용해 정상적인 로그인 절차 없이 계정에 접근하면서 발생한 것으로 파악됐다.
해당 인물은 재직 당시 시스템 장애 대응을 위한 인증 설계를 담당했던 개발자로, 지난해 1월 취약점을 발견한 뒤 같은 해 4월부터 자동화된 웹 크롤링 도구를 활용해 대규모 정보를 수집한 것으로 조사됐다. 수집된 정보가 외부 클라우드로 실제 전송됐는지 여부는 아직 확인되지 않았다.
조사 과정에서는 쿠팡이 인증키 발급 및 사용 이력 관리, 비정상 접속 탐지 등 기본적인 보안 통제에서 미흡한 대응을 보였다는 지적도 나왔다.
정상 발급 절차를 거치지 않은 전자 출입증(토큰)이 공격에 악용될 가능성이 이전 모의 해킹에서 이미 드러났음에도 개선이 이뤄지지 않았던 점도 문제로 제기됐다.
또한 쿠팡이 사고 인지 후 당국 신고를 24시간 내 하지 않아 관련 규정 위반으로 과태료 처분 대상이 될 전망이다.
자료 보전 명령에도 일부 접속 기록이 삭제된 사실이 확인되면서 수사 의뢰도 진행된다. 2024년 7월 이후 약 5개월치 웹 접속 기록과 특정 기간 애플리케이션 접속 로그가 사라진 정황이 드러났기 때문이다.
과기정통부는 쿠팡에 인증키 관리 강화와 이상 접속 탐지 체계 고도화, 보안 규정 준수 여부에 대한 정기 점검 등을 포함한 재발 방지 대책 이행 계획을 이달 내 제출하도록 요구했다.
이후 올해 7월까지 이행 여부를 점검할 방침이다. 이번 사고는 대규모 플랫폼 기업의 개인정보 보호 책임과 내부 통제 체계의 실효성을 동시에 시험하는 사례로 기록될 가능성이 크다는 평가가 나온다.
Copyright ⓒ M투데이 무단 전재 및 재배포 금지
