민관합동조사단 "쿠팡, 고객 성명·이메일 등 정보 총 3367만건 유출"

쿠팡, 고객 정보 유출 사고 발생 후 하루 뒤에서야 관련 기관에 신고
과기정통부 지시 자료 보전 명령도 위반…5개월간 접속 기록 삭제돼

민관합동조사단이 쿠팡의 고객 정보 유출 사태를 조사한 결과 이메일 등의 고객 정보가 총 3367만건 유출된 것으로 확인됐다. [사진출처=연합뉴스]

(조세금융신문=김필주 기자) 정부당국이 쿠팡에서 발생한 대규모 고객 정보 유출사태를 조사한 결과 고객 성명·이메일 등의 정보가 총 3367만건이 유출된 것으로 파악됐다.

또한 고객 정보를 유출한 쿠팡 전 직원은 고객 성명·전화번호·주소 등이 담긴 배송지 목록 페이지 1억4000여회, 배송지 목록 수정페이지 5만여회, 주문목록 페이지 10만여회를 각각 조회한 것으로 드러났다.

10일 과학기술정보통신부(과기정통부)는 이같은 내용이 담긴 쿠팡 침해사고에 대한 민관합동조사단(이하 ‘조사단’)의 조사결과를 발표했다.

먼저 조사단은 쿠팡 전 직원(공격자)이 유출했다고 주장한 이용자 정보들의 사실 여부를 검증하기 위해 쿠팡의 웹 접속기록(로그)을 분석했다.

그 결과 조사단은 쿠팡 전 직원이 쿠팡의 내정보 수정 페이지의 성명, 이메일, 배송지 목록 페이지의 성명, 전화번호, 주소, 공동현관 비밀번호 정보, 주문 목록 페이지의 이용자가 주문한 상품 정보 등을 유출한 뒤 해당 정보 일부를 이메일에 기재해 쿠팡 측에 보낸 것으로 확인했다.

쿠팡 전 직원은 쿠팡에서 고객 정보를 유출했다는 이메일을 작년 11월 16일과 11월 25일 두 차례에 걸쳐 쿠팡측에 보낸 바 있다. 당시 쿠팡 전 직원은 유출한 정보의 일부 내용을 이메일 본문에 기재했다.

이와함께 조사단은 쿠팡 웹·애플리케이션 접속기록(로그) 데이터를 분석해 내정보 수정, 배송지 목록, 주문 목록 등 페이지에서 쿠팡의 이용자 정보가 유출된 것도 확인했다.

조사단에 따르면 유출된 내정보 수정 페이지 내 성명, 이메일 등의 이용자 정보는 총 3367만3817건이다.

여기에 조사단은 쿠팡 전 직원이 이용자 성명, 전화번호, 배송지 주소, 특수문자로 비식별화된 공동현관 비밀번호가 포함된 배송지 목록 페이지를 총 1억4805만6502회 조회해 정보를 유출한 것으로 파악했다.

배송지 목록 페이지에는 쿠팡 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명과 전화번호, 배송지 주소 등 다수의 정보가 포함됐던 것으로 조사됐다.

또한 쿠팡 전 직원은 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지를 10만2682회 조회했던 것으로 드러났다.

쿠팡 침해 사건을 일으킨 쿠팡 전 직원은 재직 당시 시스템 장애 등 백업을 위한 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어 개발자(Staff Back-end Engineer)인 것으로 확인됐다.

조사단에 의하면 쿠팡 전 직원은 쿠팡 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 ‘전자 출입증’을 위·변조해 쿠팡 인증 체계를 통과했다.

이에따라 쿠팡 전 직원은 정상적인 로그인 절차를 거치지 않고서도 쿠팡 서비스에 무단 접속할 수 있었다.

조사단은 현재 쿠팡에 재직 중인 개발자들의 노트북 포렌식(디지털 분석)한 결과 서명키를 키 관리 시스템에서만 저장해야 함에도 불구하고 개발자 노트북에 저장(하드코딩)한 사실도 확인했다.

아울러 쿠팡 전 직원의 개인용 컴퓨터(PC) 저장장치(HDD 2대, SSD 2대)를 포렌식해 쿠팡에서 사용하고 있는 이용자 고유식별번호와 위·변조 ‘전자 출입증’도 찾아냈다.

◇ 조사단, 고객 정보 유출 사고 조사 과정서 쿠팡 법 위반 사실 다수 적발

조사단은 쿠팡이 고객 정보 유출 사고가 일어난 뒤 관련 기관에 늑장 신고를 한 것으로 판단했다.

쿠팡은 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 한국 인터넷진흥원(KISA)에 신고해야 한다.

그러나 정보보호 최고책임자(CISO)에게 보고한 시점인 작년 11월 17일 오후 4시로부터 24시간이 지난 후인 같은해 11월 19일 오후 9시 35분에서야 한국 인터넷진흥원(KISA)에 신고했다.

쿠팡은 자료보전 명령도 위반한 것으로 나타났다. 앞서 작년 11월 19일 오후 10시 34분 과기정통부는 정보통신망법 제48조의4에 따라 쿠팡에 침해사고 원인 분석을 위한 자료 보전을 명령한 바 있다.

하지만 쿠팡은 자료 보전 명령에도 불구하고 자사 접속기록의 자동 로그 저장 정책을 조정하지 않았고 그 결과 약 5개월(2024년 7~11월) 분량 웹 접속기록이 삭제됐다. 더불어 작년 5월 23일~6월 2일간 애플리케이션 접속기록(로그) 및 데이터도 함께 삭제된 것으로 조사됐다.

과기정통부는 조사단 조사 결과를 기반으로 이달 중 쿠팡에게 재발 방지 대책에 따른 이행계획을 제출토록 할 방침이다. 쿠팡은 오는 3월부터 5월까지 해당 이행계획을 실행에 옮겨야 한다.

과기정통부는 이후 올해 6~7월 동안 쿠팡의 재발 방지 대책 이행 여부를 집중 점검할 예정이다. 또한 이행점검 결과 보완이 필요한 사항은 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.

경제일반