|
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다.
이에 따르면 쿠팡 개발자 출신 공격자는 재직 당시 탈취한 인증 서명키를 이용해 퇴사 이후에도 쿠팡 시스템에 무단 접근했다. 쿠팡은 정상적으로 발급되지 않은 인증 토큰을 걸러내는 검증 절차를 갖추지 못했고, 이로 인해 로그인 과정 없이 내부 서비스 접근이 가능했던 것으로 조사됐다.
이 과정에서 성명과 이메일 등 이용자 개인정보 3367만여 건이 외부에 노출됐고, 배송지·주문 정보가 담긴 페이지에 대한 무단 조회도 1억 회를 넘긴 것으로 파악됐다. 정부는 이러한 조회 역시 개인정보처리자의 관리·통제 범위를 벗어난 이상 개인정보 유출에 해당한다는 입장을 분명히 했다.
다음은 과기정통부의 최우혁 정보보호네트워크정책실장, 임정규 정보보호네트워크정책국장, 한국인터넷진흥원(KISA)의 이동근 본부장과의 일문일답.
-조사 결과 발표가 늦어진 이유가 무엇인가? 쿠팡의 협조가 미진했거나 중국인 조사, 국정원 지시 여부와 관련이 있는가?
△(최우혁 실장) 데이터가 매우 방대해 데이터 분석에 물리적인 시간이 소요됐다. 쿠팡의 자료 협조는 초기에는 다소 미진했으나 이후 신속하게 이뤄졌다. 중국인 조사 부분은 경찰의 수사 영역이며, 국정원 관련 사항은 해당 기관에 문의해야 한다.
-유출과 조회를 구분하여 발표했는데, 조회의 경우 법적 책임이 경감되는가? 또한 전체 회원이 피해를 입은 것인가?
△(최우혁 실장) 법적으로 조회는 유출을 의미하므로 책임이 가벼워지는 것은 아니다. 개인정보보호법에 따른 최종 판단은 개인정보보호위원회의 소관이다. 쿠팡 가입자 수는 확인이 불가능해 전체 회원 피해 여부를 단정하기 어렵다.
-제3자의 정보도 유출되었다고 하는데 회원과 비회원 비중은 어떠한가? 쿠팡이 추가로 발표한 유출 규모와의 차이는 어떻게 보는가?
△(최우혁 실장) 회원·비회원 구분 및 개인정보 범위에 대한 최종 판단은 개보위에서 할 예정이다. 과기정통부는 사고 원인 분석과 재발 방지에 집중한다. 쿠팡이 발표한 추가 유출 건도 인지하고 있으며, 개보위에서 이를 통합하여 최종 발표할 예정이다.
-쿠팡은 3000건만 저장된 후 삭제되었다고 주장하는데 이에 대한 견해는 무엇인가? 또한 최근의 디지털 무역 장벽 논란 등 외부 변수가 조사 일정에 영향을 미쳤는가?
△(최우혁 실장) 피조사 기관의 주장은 참고 요소일 뿐이며, 조사단은 서버를 정밀 분석하여 확인된 사실만을 발표한다. 조사 일정은 외부 변수와 상관없이 포렌식 및 데이터 분석 일정에 따라 엄격하게 진행됐다.
-조회를 유출로 보는 기술적 근거는 무엇이며, 1억 건이 넘는 조회가 자동화된 기법으로 이뤄진 것인가?
△(이동근 본부장) 공격자가 특정 페이지에 접속하는 순간 해당 정보가 공격자의 시스템으로 전송되기 때문에 조회를 곧 유출로 본다. 1억 건이 넘는 방대한 데이터는 사람이 일일이 할 수 없으므로 스크립트를 활용한 자동화된 ‘웹 크롤링’ 기법이 사용됐다.
-이번 사고가 관리 소홀인지, 아니면 지능화된 해킹 공격인지 궁금하다.
△(최우혁 실장) 인증 체계 및 키 관리 시스템의 문제점을 확인했다. 이는 명백한 관리의 문제이며, 지능화된 공격으로 보기는 어렵다.
-1.4억 회 조회의 구체적인 의미와 접속 위치 확인이 가능한가?
△(이동근 본부장) 배송지 주소 페이지에 접속한 횟수를 의미한다. 해당 페이지에는 여러 개의 주소가 포함될 수 있어 정확한 정보 주체 수는 추가 분석이 필요하다. 접속 위치는 수사 연계 사항이라 구체적인 국가 등을 밝히기는 어렵다.
-공격자가 단독 범행인지, 배후 조직이 있는지 확인됐는가?
△(최우혁 실장) 해당 부분은 수사의 영역이므로 경찰의 수사 결과 발표를 기다려야 한다.
-개발자 노트북에 서명 키가 저장된 사실을 확인한 시점과 범위는 어떠한가? 모의 해킹 결과는 어디까지 보고됐는가?
△(이동근 본부장) 조사 기간 중 현직 개발자의 노트북을 확인했을 때 서명키 저장 사실을 확인했다. 이는 전반적인 키 관리 부실을 방증한다. 모의 해킹 결과는 CISO(정보보호책임자)까지 보고된 것으로 확인됐다.
-ISMS-P 인증 기준 미달 사항에 대해 인증 취소도 검토하는가?
△(임정규 국장) 직무 분리 및 암호키 관리 부분에서 미흡함이 발견됐다. 통상적으로 위반 사항에 대해 보완 조치를 우선 요청하고, 개선되지 않을 경우 시정 명령 및 취소 절차를 밟는다. 현재는 보완을 통한 체계 구축이 우선이다.
-공격 스크립트에 포함된 외부 전송 기능과 로그 삭제 경위는 어떠한가?
△(이동근 본부장) 포렌식 결과 해외 클라우드로 정보를 보내는 기능이 포함된 스크립트를 확인했다. 다만 실제 전송 로그는 삭제 흔적이 있거나 남아 있지 않아 전송 여부를 확정할 수 없다. 접속 시마다 토큰을 새로 생성하여 위변조하는 방식을 취했다.
-정보통신망법상 관리 부실에 대한 추가 처벌 근거가 있는가?
△(최우혁 실장) 현행법상 지연 신고 등에 대한 과태료 조치가 가능하며, 향후 침해 사고에 대해 과징금을 부과할 수 있도록 법 개정이 진행 중이다.
-결제 정보 유출 여부가 확인됐는가?
△(최우혁 실장) 현재까지 조사된 사항으로는 결제 정보 유출은 없는 것으로 파악된다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
