쿠팡에서 전(前) 직원이 수개월 간 고객 개인정보에 무단 접근해 유출한 규모가 3367만여 건에 이르는 것으로 확인됐다. 배송지 주소 등은 1억4800만여 차례 조회된 것으로 파악됐다. 다만 수집된 정보가 외부 클라우드 등으로 실제 전송됐는지 여부는 확인되지 않아 '2차 피해' 가능성을 둘러싼 의문은 완전히 해소되지 않았다는 지적이 나온다.
과학기술정보통신부는 10일 정부서울청사에서 쿠팡 침해 사고 관련 민관합동조사 결과를 잠정 발표했다. 과기정통부는 지난해 11월29일부터 쿠팡 웹 접속 기록(로그) 25.6테라바이트(TB) 분량(데이터 6642억 건)을 분석한 결과 쿠팡 '내 정보 수정 페이지'에서 이용자 이름과 이메일 3367만여 건이 유출됐다고 밝혔다.
특히 '배송지 목록 페이지'에서는 이름, 전화번호, 배송지 주소, 특수문자로 비식별화한 공동현관 비밀번호 등이 1억4800만여 차례 조회돼 정보가 유출된 것으로 파악했다. 이 과정에서 계정 소유자 본인뿐 아니라 가족, 지인 등 제3자의 이름과 연락처, 주소 정보도 다수 포함돼 정보 유출 대상자 범위가 확대될 가능성이 있다는 설명이다.
또한 조사단이 파악한 개인정보 유출 규모에는 쿠팡이 최근 추가로 밝힌 16만5000여 개 계정 유출 건은 포함되지 않은 것으로 알려졌다.
2차 범죄 악용 우려가 큰 공동현관 비밀번호는 '배송지 목록 수정 페이지'에서 5만여 건 조회된 것으로 파악됐다. 최근 주문 상품 목록도 '주문 목록 페이지'에서 10만여 차례 조회됐다.
조사단은 이번 조사에서 쿠팡으로부터 제출받은 공격자 PC 저장장치(HDD 2개, SSD 2개)와 현재 재직 중인 쿠팡 개발자의 노트북에 대한 포렌식 분석도 병행했다고 밝혔다. 특히 쟁점이 된 것은 쿠팡이 자체 조사에서 주장한 '3000개 계정 정보 외부 저장'의 진위와 해당 정보가 클라우드 등 외부로 유출됐는지 여부다. 공격자가 해외에 있는 클라우드 서버로 전송할 수 있는 기능 자체는 확인했지만, 실제 전송이 이뤄졌는지 입증할 로그를 확보하지 못한 것으로 전해졌다. 저장된 정보가 삭제됐는지 등 구체적 내용은 이번 발표에서 밝히지 않았다.
앞서 쿠팡은 지난해 12월25일 "유출자는 단독으로 범행을 저질렀고 3000개 계정의 제한적인 고객 정보를 개인 데스크톱 PC와 맥북 에어 노트북에만 저장했다"며 "해당 정보는 외부로 전송된 적이 없으며 공격자가 고객 정보를 모두 삭제했다고 진술했다"고 자체 조사 결과를 발표했었다.
당시 배경훈 과학기술정보통신부 장관은 지난해 12월 쿠팡 관련 연석 청문회에서 "3000건 외에 11월29일에 다 삭제했다는 말을 그대로 믿고 갈 수 없고 다 조사해야 한다"며 "삭제한 데이터는 하드디스크에서 복원될 수 있고, 클라우드나 다른 곳에 저장됐을 수도 있어 전반적으로 확인해야 한다"고 말했다. 이를 계기로 정부의 본격 조사가 시작됐다.
그러나 이번 조사 결과 발표가 '외부 전송 여부를 확인할 수 없다'는 취지여서, 쿠팡이 주장해온 "2차 피해 증거를 찾지 못했다"는 발표를 완벽하게 반박하진 못한 셈이다.
보안업계 일각에서는 정부가 중국 국적인 공격자를 직접 조사하지 못한 점이 조사의 한계로 이어졌다는 해석도 내놓고 있다. 정부는 해당 공격자에 대해 중국에 범죄인 인도를 신청했으나 인도받지 못한 것으로 알려졌다.
박성주 국가수사본부장은 9일부터 중국 공안부를 방문해 쿠팡 사건 공격자 등 범죄자 송환을 논의할 예정인 것으로 전해졌지만, 정부는 "중국에서 한국으로의 범죄인 인도 절차는 한 번도 받아들여진 적이 없다"는 입장을 유지해 왔다.
업계 관계자는 "포렌식으로도 실제 클라우드 유출 증거를 특정하기 어려운 기술적 한계가 있는 만큼, 공격자에 대한 직접 조사 없이는 외부 전송 여부 규명이 사실상 어렵다"며 "결국 수천만 건 규모의 개인정보가 실제로 외부로 유출됐는지를 밝히지 못한 채 사건이 장기 미제로 남을 가능성도 있다"고 말했다.
조사단에 따르면 중국 국적의 전직 직원은 재직 당시 이용자 인증 시스템 설계를 맡은 개발자였다. 지난해 1월 서버 인증 취약점을 발견해 시험한 뒤, 같은 해 4월14일부터 자동화된 웹 크롤링 도구로 개인정보를 수집해 11월8일까지 무단 접근을 이어간 것으로 조사됐다. 당국은 정상적인 로그인 없이 계정 접속이 가능한 인증 취약점이 악용됐지만, 쿠팡은 이를 인지하지 못했다고 지적했다.
또 쿠팡이 사전에 시행한 모의 해킹에서 정상 발급 절차를 거치지 않은 '전자 출입증(토큰)이 공격에 악용될 수 있다는 경고가 나왔는데도 개선하지 않았다고 했다. 조사단은 쿠팡에 인증키 발급·사용 이력 관리와 비정상 접속행위 탐지 모니터링을 강화할 것과 자체 보안규정 준수 여부에 대한 정기 점검을 시행할 것을 요구했다.
과기정통부는 쿠팡이 사이버 침해 사고를 인지하고 최고정보보호책임자(CISO)에게 보고한 시점인 지난해 11월17일 오후 4시보다 만 이틀이 지난 19일 오후 9시35분 당국에 신고해 24시간 내 신고 규정을 위반한 데 대해 과태료 처분을 내릴 계획이다.
자료 보전 문제도 도마에 올랐다. 과기정통부는 지난해 11월19일 사고 원인 분석을 위해 자료 보전을 명령했으나 쿠팡이 따르지 않아 2024년 7월부터 약 5개월 분량의 웹 접속 기록이 삭제되고, 지난해 5월23일~6월2일 애플리케이션(앱) 접속 기록이 사라졌다고 밝혔다. 당국은 이 부분에 대해 수사를 의뢰했다.
과기정통부는 조사 결과를 토대로 쿠팡에 재발 방지 대책에 따른 이행계획을 이달 안에 제출하도록 하고 올해 7월까지 이행 결과를 점검할 방침이다.
신용현 한경닷컴 기자 yonghyun@hankyung.com
관련뉴스
