3000개라더니… 배송지·현관 비번 1억5000만 건 들여다봤다
합조단, 쿠팡 첫 조사 결과 발표
이름·이메일 3367만건 유출 확인
배송지·주문 목록 페이지 등 조회
퇴사자, 인증체계 취약점 등 악용
접속기록 삭제 정황… 수사 의뢰
정부가 쿠팡의 대규모 개인정보 유출 사태 관련 민관합동조사단 조사 결과를 발표했다.
중국 국적의 쿠팡 전직 직원이 개인정보 3367만여건을 유출했고, 배송지 및 공동현관 비밀번호 등 2차 범죄에 악용될 수 있는 ‘민감 정보’를 1억5000만건 가까이 들여다본 것으로 조사됐다. 정부는 이번 사태 원인이 쿠팡의 ‘부실한 관리체계’에 있다고 판단하고 쿠팡 측에 재발 방지 대책과 이행 계획을 이달 안에 제출할 것을 명령했다. 또 쿠팡이 당국의 자료 보전명령 이후에도 웹·애플리케이션 접속기록을 삭제한 정황을 포착, 경찰에 수사를 의뢰했다.
과학기술정보통신부는 10일 정부서울청사에서 브리핑을 열고 이런 내용을 담은 쿠팡 침해 사고 관련 합동조사단 조사 결과를 공개했다. 지난해 11월 말 조사단 구성 이후 나온 첫 결과 발표다. 쿠팡은 이보다 앞선 지난해 12월 25일 대통령실이 여는 쿠팡 사태 긴급회의를 20여분 앞두고 ‘셀프 조사’ 결과를 기습적으로 내놨었다.
합동조사단이 2024년 11월 29일부터 남아있는 쿠팡 웹 접속기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억건)을 분석한 결과, 쿠팡 ‘내 정보 수정 페이지’에서 이용자 이름과 이메일 3367만여건이 유출된 것으로 파악됐다. 쿠팡이 최근 추가로 밝힌 계정 유출 16만5000여건은 포함되지 않은 수치다.
조사단에 따르면 쿠팡에서 이용자 인증 시스템 설계·개발 업무를 담당했던 A씨는 쿠팡 서버의 인증 취약점을 악용해 정상적으로 로그인하지 않고도 이용자 계정에 접속해 무단으로 정보를 빼돌렸다. 그는 지난해 4월 14일부터 11월 8일까지 약 7개월간 웹 크롤링(온라인 데이터를 자동 수집하는 것) 도구를 활용해 정보를 유출했고, 인터넷프로토콜(IP) 2313개를 동원해 추적을 피했다. 지난해 11월 16일과 25일에는 영어로 쓴 협박 메일을 쿠팡 측에 보내는 대범함도 보였다.
A씨는 고객 전화번호와 주소 등이 적힌 ‘배송지 목록 페이지’를 1억4805만6502회, 공동현관 비밀번호 등이 담긴 ‘배송지 목록 수정 페이지’는 5만474회, 최근 주문 상품목록이 뜨는 ‘주문 목록 페이지’는 10만2682회 조회한 것으로 조사됐다. 과기정통부 관계자는 “표준개인정보보호지침에 따라 조회 행위 역시 (개인정보를) 유출한 것으로 본다”며 “책임이 가벼워지는 건 아니다”고 말했다. 개인정보가 해당 개인정보처리자 관리·통제를 벗어나 제3자가 그 내용을 알 수 있는 상태가 됐다는 의미다. 이는 ‘A씨가 실제 저장한 정보는 3000여개에 불과하다’는 쿠팡 자체 조사 결과와도 정면 배치된다.
다만 조사단이 밝힌 정보 유출 규모는 A씨가 지난해 11월 쿠팡에 보낸 메일에서 주장한 것보다는 규모가 작다. 빼돌린 정보를 외부 클라우드로 전송했는지, 유출된 정보가 2차 피해로 이어진 사례가 있는지는 여전히 확인되지 않았다. 조사단은 “개인정보 유출 규모는 개인정보보호위원회에서 확정해 발표할 예정”이라고 했다.
조사단은 이번 사태 원인이 한 사람의 일탈이 아닌 구조적인 취약성에 있다고 지적했다. 쿠팡 관문 서버에 위·변조된 토큰(전자출입증)을 검증하는 체계가 없어 탈취한 서명키로 만든 토큰이 별다른 제재 없이 그대로 통과할 수 있었다는 것이다. A씨가 퇴사 후에도 쿠팡 서버에 무단으로 접속할 수 있던 결정적인 이유다. 최우혁 과기정통부 정보보호네트워크정책실장은 “A씨는 이용자 인증체계 취약점과 키 관리체계 취약점을 인지하고 있었다”고 설명했다. 서명키는 개발자 노트북에도 저장될 정도로 관리가 허술했고, 키 발급·사용 이력 관리나 퇴사 시 키 교체·폐기 절차도 미비했다.
법 위반 사안도 드러났다. 정보통신망법에 따라 침해 사고 인지 후 24시간 이내 과기정통부나 한국인터넷진흥원(KISA)에 신고해야 하지만, 쿠팡은 절차를 밟지 않았다. 특히 과기정통부가 지난해 11월 19일 접속기록 보전을 명령했음에도 이를 따르지 않아 2024년 7월부터 약 5개월 분량의 접속기록이 삭제됐다. 정부는 과태료 부과와 함께 수사를 의뢰했다. 쿠팡 모회사인 쿠팡Inc는 “A씨가 접근한 계정 정보 중 공동현관 출입 코드가 포함된 사례는 2609건”이라며 “이번 사고로 인한 2차 피해의 어떤 증거도 확인되지 않았다”고 반박했다.
손재호 차민주 기자 sayho@kmib.co.kr
