쿠팡 이용자 수천만 명의 개인정보가 유출된 대형 해킹 사고가 전직 내부 개발자의 인증 체계 악용에서 비롯된 것으로 확인됐다.

 

특히 중국 국적의 전 직원이 내부 시스템 취약점을 이용해 장기간 개인정보 페이지에 무단 접속한 사실이 드러나면서 보안 관리 책임 논란이 커지고 있다.

 

과학기술정보통신부는 10일 민관합동조사단 조사 결과를 발표하고, 쿠팡 '내 정보 수정 페이지'에서 성명과 이메일이 포함된 이용자 정보 3367만여 건이 유출됐다고 밝혔다. 개인정보 세부 유출 규모는 개인정보보호위원회가 추가 조사 후 확정할 예정이다.

 

이번 공격은 중국 국적의 쿠팡 전직 소프트웨어 개발자가 벌인 것으로 파악됐다. 이 인물은 재직 당시 이용자 인증 시스템 설계·개발 업무를 담당하면서 취약점을 인지했고, 퇴사 후에도 서명키가 갱신되지 않은 점을 악용해 시스템에 재접속한 것으로 조사됐다.

 

조사단에 따르면 쿠팡 서비스는 로그인 이후 '전자 출입증' 역할을 하는 인증 정보를 발급받아 서비스 접근을 허용하는 구조다.

 

공격자는 '전자 출입증' 역할을 하는 인증 토큰을 위·변조해 정상 로그인 절차 없이 이용자 계정에 접근했다. 이후 자동화된 웹 크롤링 도구를 이용해 개인정보 페이지를 대량 조회하는 방식으로 데이터를 확보했다. 기간은 지난해 4월 14일부터 11월 8일까지다.

 

웹 접속 기록 분석 결과 배송지 목록 페이지는 약 1억 4805만여 회 조회됐으며, 이 페이지에는 계정 소유자뿐 아니라 가족·지인 등 제3자의 이름, 전화번호, 주소 등이 포함돼 있었다. 공동현관 비밀번호 정보까지 포함된 배송지 수정 페이지도 5만여 회 조회된 것으로 나타났다. 최근 주문 상품 정보가 담긴 주문 목록 페이지 역시 10만여 회 이상 조회됐다.

 

정부는 개인정보가 실제 저장됐는지 여부와 관계없이 해커가 개인정보 페이지를 조회해 운영자의 통제 범위를 벗어난 시점부터 개인정보 유출된 것으로 보고 있다.

조사 과정에서는 쿠팡의 정보보호 관리 체계 미흡도 확인됐다. 개발자 노트북에 서명키가 저장돼 있었고, 퇴사자 접근 통제 및 키 발급·폐기 관리 절차가 제대로 운영되지 않았으며, 모의해킹을 통해 발견된 취약점 역시 근본적으로 개선되지 않았다는 지적이다.

 

또 쿠팡은 침해 사실을 인지하고도 24시간 내 신고 의무를 지키지 않았고, 자료보전 명령 이후에도 일부 접속 로그가 삭제돼 조사에 제약이 발생했다. 정부는 관련 법 위반 사항에 대해 과태료 부과와 수사의뢰를 진행할 방침이다.

 

과기정통부 관계자는 "이번 조사 결과를 토대로 쿠팡에 재발방지 대책 이행계획을 제출하도록 하고, 3-5월 이행 여부를 점검할 예정이다"라며 "점검 결과 보완이 필요한 사항이 확인될 경우 정보통신망법에 따라 시정조치를 명령할 계획"이라고 말했다.

 

https://www.daejonilbo.com/news/articleView.html?idxno=2256852