쿠팡 배송지 목록 1.4억회 조회했다

쿠팡에서 유출된 개인정보가 3367만 건으로 최종 확인됐다. 전 쿠팡 직원인 공격자는 자동화된 웹크롤링 기술을 활용해 2313개의 인터넷주소(IP)로 이름, 전화번호, 주소, 공동현관 비밀번호가 기재된 배송지 목록 페이지를 약 1억4000만 회 조회한 것으로 드러났다.

과학기술정보통신부는 10일 ‘쿠팡 전 직원에 의한 정보통신망 침해사고 조사 결과’를 발표했다. 지난해 11월 29일 발표 때와 유출 규모는 같다. 다만 합동조사단은 이날 ‘조회’ 항목을 추가했다. 3367만 개 계정에서 공격자가 실제로 들여다본 건수를 종합했다. 과기정통부 관계자는 “단순 조회도 유출에 해당한다”고 설명했다.

유출된 정보가 다크웹 등에 유포됐는지와 관련해선 “정보를 해외 소재 클라우드 서버로 전송할 수 있는 기능을 확인했지만 전송이 이뤄졌는지는 기록이 남아 있지 않아 확인할 수 없다”고 말했다. 공격자의 PC 등에 저장된 정보가 몇 건인지에 대해서도 과기정통부는 “수치가 맞다, 틀리다 말하는 것은 불필요한 사항”이라고 했다. 이와 관련해 쿠팡은 자체 조사를 통해 저장 정보 건수는 3000개라고 주장했다.

"현관 비번 5만회 조회…정보 불법거래는 확인 안돼"
유출 계정에서 1.5억회 조회…단순열람 넘어 데이터 수집한 듯

지난해 4월 발생한 것으로 추정되는 쿠팡 개인정보 유출의 전모가 밝혀졌다. 쿠팡 전 직원인 공격자는 3367만 건의 개인정보가 저장된 서버를 제집 드나들 듯 염탐했고, 현관 비밀번호 같은 민감 정보를 약 5만 회 조회했다. 국내 1위 유통 대기업인 쿠팡이 스타트업에도 못 미칠 정도의 부실한 보안 관리로 자초한 결과라는 비판이 나온다. 다만 우려된 2차 피해와 관련해 민관 합동조사단은 “현재까지 확인한 바로는 (개인정보 등을 불법적으로 거래하는) 다크웹 등에 유출된 정보가 올라온 것은 확인되지 않았다”며 “결제 정보 유출도 없었다”고 설명했다.

◇재확인된 쿠팡의 보안 부실

10일 과학기술정보통신부 주도로 진행된 민관 합동조사단의 발표는 여러 민감한 사안이 걸린 터라 긴장감 속에 이뤄졌다. ‘공격자 PC에 저장된 개인정보는 3000건뿐이고, 외부로 전송되지 않은 채 삭제됐다’는 쿠팡의 ‘셀프 조사’에 대한 정부의 종합 설명인 데다 미국 의회는 쿠팡 사태와 관련해 청문회를 예고했다.

이날 발표는 지난해 11월 29일 1차 조사 결과와 크게 다르지 않았다. 3367만 건 유출을 재확인했다. 달라진 건 ‘조회’ 개념을 새로 적용한 것이다. 조사단은 공격자가 배송지 목록 페이지를 약 1억4805만 회 조회한 사실을 확인했다고 발표했다.

배송지 목록에는 계정 소유자 본인 외에도 가족 등 제3자의 성명, 전화번호, 배송지 주소 등 정보가 포함돼 있다. 공동현관 비밀번호 등이 포함된 배송지 목록 수정 페이지 역시 5만474회 조회된 것으로 나타났다. 고객의 최근 주문 상품 정보가 포함된 주문 목록 페이지는 10만2682회 조회됐다. 보안업계 관계자는 “이 정도의 반복 조회가 이뤄졌다면 단순 열람이 아니라 데이터를 체계적으로 수집해갔다고 보는 게 일반적”이라고 말했다.

정부는 조회도 유출 범위에 포함된다는 점을 분명히 했다. 최우혁 과기정통부 정보보호네트워크정책실장은 “조회라고 해서 책임이 가벼워지는 건 아니다”고 말했다. 이에 대해 보안업계에선 “개인정보 유출 규모에 대한 최종 결과는 개인정보보호위원회에서 확정해 발표한다”며 “조회 개념을 도입한 건 개인정보위의 과징금 규모 결정과 연관돼 있을 것”이라고 추정했다.

과기정통부가 관할하는 정보통신망법에 따르면 쿠팡의 보안 부실에 대한 과태료는 ‘3000만원 이하’에 불과하다. 개인정보위가 부과하는 과징금은 최대 매출의 3%까지 책정할 수 있다. 개인정보위 관계자는 “현재 15명이 투입된 대규모 조사단이 가동 중으로 개인정보위 역사상 이 정도 규모는 처음”이라며 “늦은 사과와 자체 조사 결과 발표 등 기업의 소명 노력이 다른 기업 사례와 비교해 충분했다고 보기 어려워 처음부터 끝까지 엄정하게 들여다볼 것”이라고 말했다.

◇“데이터 수집이 목적일 수도”

논란이 된 쿠팡의 자체 조사와 관련해 최 실장은 “피조사기관의 주장일 뿐”이라고 일축하며 “수치가 맞다, 틀리다 말하는 것은 불필요한 사항”이라고 강조했다. 공격자의 PC 등 저장장치에 유출된 개인정보가 몇 건 저장됐는지는 중요하지 않다는 의미다.

이번 조사 결과는 쿠팡이 제출한 공격자 PC 저장장치(HDD 2개, SSD 2개)와 재직 중인 개발자 노트북을 포렌식한 내용을 분석한 결과다. 공격은 지난해 4월부터 11월까지 약 7개월간 이어졌다. 공격자의 PC 등엔 데이터를 홍콩 소재 클라우드 서버로 전송할 수 있는 기능이 깔려 있었던 것으로 확인됐다. 최 실장은 “실제 전송이 이뤄졌는지는 기록이 남아 있지 않아 확인할 수 없다”고 말했다.

쿠팡 본사인 쿠팡Inc는 이날 과기정통부의 조사 결과 발표 직후 “해당 사건으로 인한 2차 피해 정황이 없고, 민감한 개인정보에 대한 접근도 없었다”고 다시 한번 강조했다. 쿠팡Inc는 “모든 기기는 이미 회수됐고, 포렌식 결과 전 직원이 저장했던 데이터도 삭제된 것으로 확인됐다”며 “이 같은 사실은 해당 직원의 자백 진술과도 일치한다”고 했다. 또 과기정통부 조사 결과와 달리 “공동현관 출입 코드 조회는 2609건에 불과하다”고 덧붙였다.

이영애/최지희/라현진 기자 0ae@hankyung.com