박종민 기자쿠팡에서 유출된 개인정보 규모가 3367만 건에 달하는 것으로 드러났습니다.
특히 이름과 전화번호, 주소가 포함된 배송지 정보가 1억4800만여 차례 조회된 사실이 처음으로 공식 확인됐습니다.
정부가 오늘 발표한 민관 합동 조사 결과 내용인데요, 정책부 김기용 기자 연결해 함께 살펴보겠습니다.
김 기자, 이번 조사 결과의 핵심부터 정리해주시죠.
[기자]
네. 이번 정부 조사 결과의 핵심은 크게 세 가지입니다.
먼저, 개인정보 유출 피해가 페이지별·항목별로 처음 공식 확인됐다는 점,
두 번째는 정상적인 로그인 절차 없이 계정 접근이 가능했던 공격 수법이 구체화됐다는 점,
마지막으로 쿠팡의 인증키와 로그 관리 체계 전반에 구조적인 문제가 확인됐다는 점입니다.
과학기술정보통신부는 이번 사고를 이용자 인증체계 취약점을 악용한 대규모 정보통신망 침해사고로 규정했습니다.
[앵커]
그럼 피해 규모부터 보겠습니다. 정부가 어떤 수준까지 확인한 건가요?
쿠팡 침해사고 민관합동조사단 조사결과 브리핑. 연합뉴스[기자]
조사단은 쿠팡의 웹과 애플리케이션 접속기록, 즉 로그기록을 분석해 피해 규모를 페이지별로 산정했습니다.
우선, '내정보 수정 페이지'에서 이용자 성명과 이메일 정보 3367만여 건이 유출된 것으로 확인됐습니다.
또 '배송지 목록 페이지'에서는 성명과 전화번호, 주소 등이 포함된 화면이 1억4800만여 회 조회된 것으로 조사됐습니다.
정부는 이 정보들이 관리·통제 범위를 벗어난 상태로 노출된 만큼 유출에 해당한다고 밝혔습니다.
최우혁 과기부 정보보호네트워크정책실장입니다.
[인서트1] "(배송지) 1.4억건을 갖다가 조회를 했습니다. 그리고 그 조회된 정보는 유출된 것으로 보고 있습니다. 명확하게"
이와 함께 '배송지 목록 수정 페이지'에서는 공동현관 비밀번호가 포함된 정보가 5만여 회, 최근 주문한 상품 목록이 담긴 '주문 목록 페이지'도 10만 회 이상 조회된 것으로 파악됐습니다.
조사단은 최종 개인정보 유출 규모는 주무 부처인 개인정보보호위원회가 확정할 예정이라고 덧붙였습니다.
[앵커]
이렇게 대규모 피해가 발생한 배경, 결국 인증 체계 문제라는 거죠?
[기자]
그렇습니다. 조사단에 따르면 공격자는 쿠팡 서버의 이용자 인증 취약점을 악용했습니다.
쿠팡은 로그인 시 '전자 출입증'을 발급받고, 관문 서버가 이를 검증한 뒤 서비스 접속을 허용하는 구조입니다.
하지만 공격자는 재직 당시 관리하던 인증 시스템의 서명키를 탈취해 전자 출입증을 위·변조했고, 그 결과 정상적인 로그인 절차 없이도 계정 접근이 가능했던 것으로 조사됐습니다.
공격은 지난해 4월 중순부터 11월 초까지 이어졌고, 대규모 정보 유출 단계에서는 자동화된 웹 크롤링 공격 도구가 사용됐습니다. 이 과정에서 2300여 개의 IP가 활용된 사실도 확인됐습니다.
[앵커]
보통의 해킹과는 다른 관리의 문제로 보이네요.
[기자]
네. 정부는 이번 사고를 고도화된 사이버 공격으로 보기 어렵다고 분명히 선을 그었습니다.
과기부 설명 직접 들어보시죠.
[인서트2] "저희가 지금 인증 체계 관리상의 문제점도 강하게 질타를 하고 지적을 했습니다. 그 다음에 키 관리 시스템도 지금도 제대로 안 되고 있다는 부분도 정확하게 지적을 했습니다. 이거는 분명히 관리의 문제입니다. 지능화된 공격으로 보기는 어려울 것 같습니다."
아울러 쿠팡은 침해사고 인지 후 24시간 이내 신고 의무를 지키지 못했고, 정부의 자료 보전 명령 이후에도 로그 관리 정책을 조정하지 않아 웹·앱 접속기록 일부가 삭제된 사실도 확인됐습니다.
이에 따라 정부는 과태료 부과와 함께 수사기관에 수사를 의뢰했습니다.
[앵커]
정부의 후속 조치 계획도 나왔죠?
[기자]
네. 과기부는 쿠팡에 재발 방지 대책 이행계획을 이달 중 제출하도록 했고, 3월에서 5월 사이 이행 여부 점검, 6월과 7월 사이 최종 점검을 진행할 계획이라고 밝혔습니다.
점검 결과 보완이 필요할 경우, 시정조치 명령도 내릴 방침입니다.
과기부는 다만 개인정보를 빼돌린 용의자의 국적이나 신원 등은 밝히지 않았습니다.
해당 사건은 현재 경찰이 수사를 진행하고 있기 때문에 구체적인 내용은 향후 수사 과정에서 밝혀질 것으로 보입니다.