과학기술정보통신부가 쿠팡 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 사진은 10일 서울 시내 쿠팡 물류센터 앞을 시민이 지나가고 있는 모습. /사진=뉴스1

쿠팡의 개인정보 유출 사태로 이용자 이름과 전화번호, 배송지 주소, 공동현관 비밀번호는 물론 주문 목록과 지인 개인정보까지 대규모로 유출·조회된 사실이 공식 확인됐다.

과학기술정보통신부는 쿠팡 침해사고에 대한 민관합동조사단(조사단)의 조사 결과를 10일 발표했다. 지난해 11월30일 조사단이 구성된 지 72일 만이다. 쿠팡은 자체 조사를 통해 지난해 11월17일 침해사고 발생을 인지하고 이틀 후인 19일 한국인터넷진흥원(KISA)에 신고했다.


조사 결과 개인 정보 유출 규모가 구체적으로 드러났다. 조사단은 쿠팡의 이용자 인증 체계를 정밀 분석하고 공격 범위 및 유출 규모를 파악하기 위해 쿠팡 웹과 앱 접속기록(로그) 등에 대한 종합적인 분석을 실시했다.

데이터 분석 결과 '내정보 수정' '배송지 목록' '주문 목록' 등 페이지에서 개인정보가 대규모로 유출·조회됐다. '내정보 수정' 페이지에서는 성명과 이메일이 포함된 이용자 정보 3367만3817건이 유출됐다. 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 '배송지 목록' 페이지에서는 1억4805만6502회 조회가 이뤄졌다. 계정 소유자 본인 외에도 가족·친구 등 제3자의 성명, 전화번호, 배송지 주소 등의 정보가 다수 포함됐다. 이용자가 최근 주문한 상품 목록이 포함된 '주문 목록' 페이지도 10만2682회 열람했다.

조사단이 정보 유출 경로를 분석한 결과 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출했다. 공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 위·변조한 '전자 출입증'으로 쿠팡 인증 체계를 통과했다.


앞서 쿠팡은 모의해킹을 통해 '전자 출입증' 기반 인증 체계의 취약점 발굴·개선을 추진했지만 발견된 문제만 해결책을 모색했다. 정작 쿠팡의 관문 서버 이용자 인증 체계 개선 등 전반적인 문제점 검토는 이뤄지지 않았다.

이에 따라 조사단은 쿠팡이 정상 발급 절차를 거치지 않은 '전자 출입증'에 대한 탐지 및 차단 체계를 도입하고 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다고 주문했다.

쿠팡은 자체 규정에 따라 서명키를 '키 관리 시스템'에서만 보관하고 개발자 개인용 PC 등에 저장(소스 코드 내 하드코딩)하지 않도록 해야 한다고 명시하고 있다. 조사단은 현재 재직 중인 쿠팡 개발자가 노트북에 서명키를 저장하고 있어 키 유출 및 오남용 위험이 있음을 발견했다.

또 쿠팡은 서명키를 체계적으로 관리할 수 있도록 발급 내역을 기록·관리하도록 규정하고 있다. 다만 조사단은 키 이력 관리 체계가 부재해 목적 외 사용을 파악하는 조차 불가능함을 확인했다. 내부자(퇴사자)로 인해 서명키와 같은 주요 정보가 탈취될 수 있는 위협에 대한 대응체계도 부재했다.

조사단은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)에 대해서도 점검했다. 그 결과 쿠팡은 개발과 운영을 분리하지 않고 개발자에게 실제 운영 중인 '키 관리 시스템'에 접근하도록 권한을 부여했다. 내부 규정에서 키의 수명(3년 주기)만 정의했고 사용자의 정보 변경에 따른 교체 등 세부적인 운영 절차 수립이 미흡했다. 이에 조사단은 쿠팡이 키 관리(발급/사용 이력 관리)·통제 체계 강화 및 운영 관리 기준을 명확히 하고 상시 점검을 시행해야 한다고 요구했다.

정보보호 관리체계도 미흡했다. 쿠팡은 이번 침해사고가 동일한 서버 사용자 식별번호를 반복적으로 사용했으며 위·변조된 '전자 출입증'을 활용한 비정상 접속행위가 발생했음에도 해당 공격 행위를 통한 정보 유출을 탐지·차단하지 못했다.

접속기록(로그)을 일관된 기준 없이 저장·관리해 피해 이용자 식별 및 정보 유출 규모 산정에 어려움이 발생했다. 쿠팡은 로그 중 서버 사용자 식별번호, 이용자 고유식별번호를 내 정보 수정페이지에서만 저장·관리하고 있으며 배송지 목록, 주문목록 등 페이지에서는 해당 정보를 저장·관리하고 있지 않다.

이에 조사단은 쿠팡에 비정상 접속행위 탐지 모니터링을 강화하고 사고원인 분석 및 피해 규모 식별 등 목적에 맞는 로그 저장관리 정책을 수립 및 정비할 것을 촉구했다. 자체 보안규정 준수 여부에 대한 정기 점검을 실시하고 미준수 사항 발생 시 즉각 개선하는 관리체계를 구축해야 한다고 덧붙였다.

자료 보전 명령에도 웹·앱 기록 삭제

조사단은 이번 조사에서 쿠팡이 침해사고 신고 지연, 자료 보전 명령 위반 등의 법을 위반했다고 지적했다.

쿠팡은 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 한국 인터넷진흥원(KISA)에 신고해야 한다. 쿠팡은 정보보호 최고책임자(CISO)에게 보고한 시점으로부터 24시간이 지난 후 KISA에 신고했다. 이에 정보통신망법에 따른 과태료를 부과할 예정이다.

과기정통부는 정보통신망법 제48조의4에 따라 쿠팡에 침해사고 원인 분석을 위해 자료 보전을 명령했으나 쿠팡은 자사 접속기록의 자동 로그 저장 정책을 조정하지 않았다. 이에 따라 2024년 7월부터 11월까지의 웹 접속기록과 지난해 5월23일부터 6월2일 간의 앱 접속기록이 삭제됐다. 이는 수사기관에 수사를 의뢰했다.

과기정통부는 이번 조사단의 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 제출하도록 한다. 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획이다. 이행점검 결과 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.