쿠팡 개인정보 유출 3367만건 확인, 수사 의뢰

쿠팡 개인정보 유출 대규모 확인

국내 최대 이커머스 플랫폼인 쿠팡에서 발생한 개인정보 유출 사고의 규모가 당초 신고된 4536건이 아닌 3367만여 건으로 최종 확인됐다. 이번 사고는 이용자 개인정보가 대량으로 유출된 심각한 사건으로, 과학기술정보통신부(과기정통부)가 민관합동조사단을 통해 조사 결과를 발표했다.

유출된 개인정보와 조회 현황

조사 결과에 따르면, 공격자는 쿠팡 이용자의 성명, 전화번호, 주소 등이 포함된 배송지 목록 페이지를 1억 4805만여 회 조회했으며, 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지는 5만여 회, 최근 주문한 상품 목록이 포함된 주문 목록 페이지는 10만여 회 조회한 것으로 나타났다. 특히 내정보 수정 페이지에서는 성명과 이메일 등 3367만 3817건의 개인정보가 유출된 것으로 파악됐다.

공격 방식과 보안 취약점

공격자는 이용자 인증 체계의 취약점을 악용해 정상적인 로그인 절차 없이 계정에 접속해 대규모 개인정보를 무단으로 탈취했다. 전자 출입증의 위·변조 검증 체계가 미흡해 공격 행위를 사전에 탐지하거나 차단하지 못한 점도 드러났다. 또한, 모의해킹에서 발견된 보안 취약점 개선이 미흡했고, 퇴사한 개발자의 서명키를 즉시 갱신하지 않아 공격자가 이를 악용했다.

퇴사 개발자의 악용과 공격 기간

공격자는 지난해 1월 퇴사 전 사전 공격 테스트를 진행한 뒤, 퇴사 후 7개월 동안 본격적으로 개인정보를 탈취했다. 이 개발자는 재직 당시 발급받은 서명키로 위·변조된 전자 출입증을 발급받아 제한 없이 서버에 접속할 수 있었던 것으로 확인됐다. 해당 개발자는 시스템 장애 및 백업을 위한 이용자 인증 시스템 설계·개발 업무를 담당한 소프트웨어 개발자였다.

과기정통부의 조치와 요구사항

과기정통부는 재발 방지 대책으로 정상 발급 절차를 거치지 않은 전자 출입증에 대한 탐지 및 차단 체계 도입, 모의해킹에서 발견된 취약점 조치, 서명키 발급 및 폐기 관리 체계 강화를 주문했다. 또한, 정보통신망법에 따른 신고 지연과 자료 보전 명령 위반 사실도 확인해 쿠팡에 과태료를 부과하고, 자료 보전 명령 위반에 대해서는 수사를 의뢰했다.

신고 지연과 자료 보전 명령 위반

쿠팡은 침해사고 인지 후 24시간 이내에 과기정통부 또는 한국인터넷진흥원(KISA)에 신고해야 함에도 불구하고, 최고정보보호책임자(CISO)에게 보고한 시점으로부터 24시간이 지난 후에야 신고했다. 또한, 자료 보전 명령 이후에도 웹 및 애플리케이션 접속 기록을 삭제해 조사를 방해한 점이 드러났다.

재발 방지 계획과 향후 점검

과기정통부는 쿠팡에 재발 방지 대책에 따른 이행 계획을 이달 내 제출하도록 요구했으며, 내달부터 5월까지 이행 상황을 점검할 예정이다. 이후 6월과 7월에 이행 여부를 다시 확인하고, 보완이 필요한 사항에 대해서는 정보통신망법에 따라 시정 조치를 명령할 계획이다.