쿠팡 침해사고, 수법은 드러났지만 피해는 미확정
퇴사 개발자, 인증키 탈취해 시스템 접근
유출 규모·위법성 판단은 개보위 몫
(서울=연합뉴스) 한상용 기자 = 정부가 쿠팡 침해 사고에 관한 조사 결과를 내놓으면서 개인정보 유출 규모와 범행 수법이 구체적으로 윤곽을 드러냈다.
범인의 협박 내용은 물론 쿠팡의 서투른 대응 조치와 뒤늦은 신고도 고스란히 공개됐다.
그러나 특정 국적 인물로 거론된 범인 신상은 공식 발표되지 않았고, 세부 유출 규모도 개인정보보호위원회가 추후 밝힐 것으로 전망되는 등 미진한 점이 남아 있다는 지적이 제기된다.
일각에서는 미국 하원이 쿠팡을 조사하기 전에 정부가 나서 먼저 발표한 게 아니냐는 조심스런 관측도 나온다.
◇ 공격자는 영어로 협박한 내부 퇴사자…범인 신상은 미공개
정부는 개인정보 유출자에 대해 '공격자'와 '범인'이란 표현을 써 가며 '내부 퇴직자'라고 공개했다.
쿠팡 재직 당시 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어(SW) 개발자로, 자신이 관리한 인증 시스템의 서명키를 훔친 뒤 이를 활용해 전자 출입증을 위변조한 것으로 드러났다.
이를 통해 정상적인 로그인 절차를 거치지 않고 퇴사 후에도 쿠팡 서비스에 무단 접속이 가능했다.
시스템 장애 등 백업을 위한 이용자 인증 시스템을 잘 파악하고 있었던 만큼 이용자 인증과 키 관리 체계의 취약점을 인지한 뒤 범행을 저질렀다는 게 정부의 설명이다.
이 범인은 지난해 11월 16일과 25일 두 차례에 걸쳐 영어로 협박 메일을 보낸 것으로 확인됐다.
유출한 정보 일부를 이메일 본문에 기재하는 대범함도 보였다.
이는 범인이 한국인이 아닌 외국인, 더 나아가 지금까지 일각에서 제기된 중국 국적 퇴사 직원이라는 점을 뒷받침하는 대목으로도 풀이될 수 있다.
그러나 합동조사단은 범인의 구체적 신원[009270]과 국적을 조사결과 내용이 담긴 보도자료에 공개하지 않았다. 범인 신분이 특정되지 않은 채 발표된 것이다.
정부가 한중 간 외교적 관계를 고려한 조치가 아니냐는 해석이 나오는 대목이다.
이에 따라 범인의 신원은 현재 이번 침해사고와 관련된 증거물 분석 등 수사를 진행 중인 경찰이 향후 공개할지 더욱 관심을 끌게 됐다.
◇ 세부적 유출 규모와 위법 여부는 개보위 몫으로
합동조사단은 이번 침해 사고 원인을 정보통신망법 제48조 제4항에 따라 분석하고 유사 사고 재발 방지 대책을 마련했다고 밝혔다.
해당 조항은 해킹이나 디도스 등 정보통신망 침해를 위한 프로그램의 제작·유통·사용 지원 행위를 금지하는 내용이 담겨 있다.
따라서 이번 조사의 초점도 사고 원인 분석과 재발 방지 방안 마련에 맞춰져 있는 것으로 관측된다.
조사단은 쿠팡에서 유출된 정보가 큰 틀에서 성명·이메일 3천367만여건 유출, 배송지 목록 페이지 1억4천만여회 조회, 배송지 목록 수정 페이지 5만여회 조회 등을 확인했다고 전했다.
그러나 세부적인 개인정보 유출 규모는 공개하지 않은 채 개인정보보호위원회에서 확정할 예정이라고 부연했다.
개인정보 보호법 위반 여부도 명확하게 공지되지 않았다. 개보위가 해당 법에 따른 개인정보 유출 규모와 위법 여부 등을 조사하고 있다고도 했다.
사실상 개보위가 구체 유출 규모와 위법성 여부에 관해 최종 결론을 낼 것이란 점을 시사한 것으로 풀이된다.
합동조사단의 이번 결과 발표가 세간의 궁금증을 완전히 해소하지 못할 것으로 보이면서 조사단이 예정보다 서둘러 발표를 한 게 아니냐는 관측도 나온다.
실제 조사단이 서둘러 발표했다면 그 배경에도 관심이 쏠린다.
업계 일각에서는 이날 정부 발표가 조만간 있을 미국 의회의 쿠팡 조사와 무관하지 않다는 조심스런 해석도 나온다.
미 하원 법사위는 지난 5일(현지시간) 쿠팡 사태와 관련해 한국 정부의 '차별'을 주장하며 해롤드 로저스 쿠팡 임시 대표에게 보낸 소환장을 공개한 바 있다.
정부가 이번 조사 발표를 통해 쿠팡에 대한 우리 정부의 조사 주도권을 유지하는 동시에 조사의 객관성과 신뢰성을 대내외적으로 알리려는 의지가 담겨 있을 수도 있다.
과학기술정보통신부는 "개보위와 경찰청이 조사와 수사를 진행 중이고 여타 관련 부처들도 소관 이슈들에 대해 검토 중"이라고 밝혔다.
gogo213@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
퇴사 개발자, 인증키 탈취해 시스템 접근
유출 규모·위법성 판단은 개보위 몫
(서울=연합뉴스) 한상용 기자 = 정부가 쿠팡 침해 사고에 관한 조사 결과를 내놓으면서 개인정보 유출 규모와 범행 수법이 구체적으로 윤곽을 드러냈다.
범인의 협박 내용은 물론 쿠팡의 서투른 대응 조치와 뒤늦은 신고도 고스란히 공개됐다.
그러나 특정 국적 인물로 거론된 범인 신상은 공식 발표되지 않았고, 세부 유출 규모도 개인정보보호위원회가 추후 밝힐 것으로 전망되는 등 미진한 점이 남아 있다는 지적이 제기된다.
일각에서는 미국 하원이 쿠팡을 조사하기 전에 정부가 나서 먼저 발표한 게 아니냐는 조심스런 관측도 나온다.
◇ 공격자는 영어로 협박한 내부 퇴사자…범인 신상은 미공개
정부는 개인정보 유출자에 대해 '공격자'와 '범인'이란 표현을 써 가며 '내부 퇴직자'라고 공개했다.
쿠팡 재직 당시 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어(SW) 개발자로, 자신이 관리한 인증 시스템의 서명키를 훔친 뒤 이를 활용해 전자 출입증을 위변조한 것으로 드러났다.
이를 통해 정상적인 로그인 절차를 거치지 않고 퇴사 후에도 쿠팡 서비스에 무단 접속이 가능했다.
시스템 장애 등 백업을 위한 이용자 인증 시스템을 잘 파악하고 있었던 만큼 이용자 인증과 키 관리 체계의 취약점을 인지한 뒤 범행을 저질렀다는 게 정부의 설명이다.
이 범인은 지난해 11월 16일과 25일 두 차례에 걸쳐 영어로 협박 메일을 보낸 것으로 확인됐다.
유출한 정보 일부를 이메일 본문에 기재하는 대범함도 보였다.
이는 범인이 한국인이 아닌 외국인, 더 나아가 지금까지 일각에서 제기된 중국 국적 퇴사 직원이라는 점을 뒷받침하는 대목으로도 풀이될 수 있다.
그러나 합동조사단은 범인의 구체적 신원[009270]과 국적을 조사결과 내용이 담긴 보도자료에 공개하지 않았다. 범인 신분이 특정되지 않은 채 발표된 것이다.
정부가 한중 간 외교적 관계를 고려한 조치가 아니냐는 해석이 나오는 대목이다.
이에 따라 범인의 신원은 현재 이번 침해사고와 관련된 증거물 분석 등 수사를 진행 중인 경찰이 향후 공개할지 더욱 관심을 끌게 됐다.
◇ 세부적 유출 규모와 위법 여부는 개보위 몫으로
합동조사단은 이번 침해 사고 원인을 정보통신망법 제48조 제4항에 따라 분석하고 유사 사고 재발 방지 대책을 마련했다고 밝혔다.
해당 조항은 해킹이나 디도스 등 정보통신망 침해를 위한 프로그램의 제작·유통·사용 지원 행위를 금지하는 내용이 담겨 있다.
따라서 이번 조사의 초점도 사고 원인 분석과 재발 방지 방안 마련에 맞춰져 있는 것으로 관측된다.
조사단은 쿠팡에서 유출된 정보가 큰 틀에서 성명·이메일 3천367만여건 유출, 배송지 목록 페이지 1억4천만여회 조회, 배송지 목록 수정 페이지 5만여회 조회 등을 확인했다고 전했다.
그러나 세부적인 개인정보 유출 규모는 공개하지 않은 채 개인정보보호위원회에서 확정할 예정이라고 부연했다.
개인정보 보호법 위반 여부도 명확하게 공지되지 않았다. 개보위가 해당 법에 따른 개인정보 유출 규모와 위법 여부 등을 조사하고 있다고도 했다.
사실상 개보위가 구체 유출 규모와 위법성 여부에 관해 최종 결론을 낼 것이란 점을 시사한 것으로 풀이된다.
합동조사단의 이번 결과 발표가 세간의 궁금증을 완전히 해소하지 못할 것으로 보이면서 조사단이 예정보다 서둘러 발표를 한 게 아니냐는 관측도 나온다.
실제 조사단이 서둘러 발표했다면 그 배경에도 관심이 쏠린다.
업계 일각에서는 이날 정부 발표가 조만간 있을 미국 의회의 쿠팡 조사와 무관하지 않다는 조심스런 해석도 나온다.
미 하원 법사위는 지난 5일(현지시간) 쿠팡 사태와 관련해 한국 정부의 '차별'을 주장하며 해롤드 로저스 쿠팡 임시 대표에게 보낸 소환장을 공개한 바 있다.
정부가 이번 조사 발표를 통해 쿠팡에 대한 우리 정부의 조사 주도권을 유지하는 동시에 조사의 객관성과 신뢰성을 대내외적으로 알리려는 의지가 담겨 있을 수도 있다.
과학기술정보통신부는 "개보위와 경찰청이 조사와 수사를 진행 중이고 여타 관련 부처들도 소관 이슈들에 대해 검토 중"이라고 밝혔다.
gogo213@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스
