|
|
과학기술정보통신부는 10일 정부서울청사에서 열린 ‘쿠팡 침해사고 민관합동조사단’ 조사 결과 브리핑에서 쿠팡의 웹·애플리케이션 접속 기록(로그)을 분석한 결과 내 정보 수정, 배송지 목록, 주문 목록 페이지에서 대규모 개인정보 유출이 발생했다고 밝혔다.
조사단에 따르면 ‘내 정보 수정’ 페이지를 통해 성명·이메일이 포함된 이용자 정보 3367만3817건이 유출된 것으로 확인됐다. 또 성명·전화번호·배송지 주소·공동현관 비밀번호 등이 포함된 ‘배송지 목록’ 페이지는 1억4805만6502회 조회됐고, 주문 상품 정보가 담긴 ‘주문 목록’ 페이지도 10만2682회 조회된 것으로 집계됐다. 배송지 목록에는 계정 소유자 본인 외에도 가족·지인 등 제3자의 개인정보가 다수 포함돼 있었다는 설명이다.
최우혁 과기정통부 정보보호네트워크정책실장은 “배송지·주문 목록에 대한 ‘조회’ 역시 명백한 ‘유출’에 해당한다”고 밝혔다. 개인정보가 개인정보처리자의 관리·통제권을 벗어나 제3자가 내용을 알 수 있는 상태에 이르면, 저장 여부와 무관하게 유출로 판단한다는 취지다. 다만 이용자 본인 정보와 제3자 정보가 복합적으로 얽힌 사안인 만큼, 최종 유출 규모는 개인정보보호위원회가 추가 조사를 거쳐 확정·발표할 예정이다.
이번 발표는 쿠팡 개인정보 유출 규모를 둘러싼 논란이 이어지는 가운데 정부가 공식 확인한 첫 조사 결과다. 쿠팡은 사고 초기 4536개 계정 정보 유출을 신고했지만, 이후 정부 현장 조사 과정에서 유출 규모가 3000만 건 이상으로 확대될 수 있는 정황이 확인됐다. 쿠팡은 별도로 “3000여 건의 정보만 저장됐다가 삭제됐다”는 취지의 자체 조사 결과를 내놓으며 논쟁이 커졌고, 최근에는 추가 유출 가능성도 별도로 안내한 바 있다. 최 실장은 “쿠팡이 주장한 수치는 자체 주장일 뿐”이라며 “정부 검증을 통해 확인된 규모는 3367만 건”이라고 선을 그었다. 추가 유출분에 대해서는 “개인정보보호위원회가 최종 판단할 사안”이라고 덧붙였다.
조사단은 사고의 근본 원인으로 인증 체계와 서명키 관리의 허점을 지목했다. 통상 이용자가 로그인 절차를 거쳐 ‘전자 출입증(토큰)’을 발급받고 관문 서버가 이를 검증해 접근을 허용해야 하지만, 위·변조 여부를 확인하는 체계가 미흡했고 키 관리 절차도 취약했다는 것이다. 공격자는 재직 당시 이용자 인증 시스템의 취약점을 인지한 뒤 서명키를 탈취해 전자 출입증을 위·변조하고, 로그인 없이 서비스에 무단 접속해 자동화된 웹 크롤링 방식으로 정보를 대량 조회·유출한 것으로 조사됐다. 이 과정에서 2313개 IP가 사용된 사실도 확인됐다.
이에 대해 쿠팡은 “전직 직원의 부적절 접근은 있었지만 실제 저장은 약 3000건에 그쳤고, 2차 피해 정황은 확인되지 않았다”고 기존 입장을 되풀이 했다.
과기정통부는 쿠팡에 재발 방지 대책에 따른 이행 계획 제출을 요구하고, 이행 여부를 점검할 방침이다. 아울러 침해사고 신고 지연에 대해서는 정보통신망법에 따른 과태료를 부과하고, 자료 보전 명령에도 불구하고 접속 기록이 삭제된 정황과 관련해서는 수사기관에 수사를 의뢰했다고 밝혔다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
