쿠팡 전(前) 직원이 수개월에 걸쳐 고객 개인정보에 무단 접근한 것으로 확인됐다. 유출 규모는 3367만 건으로 배송지 주소 등을 1억4800만회 조회한 것으로 알려졌다.
10일 과학기술정보통신부(과기정통부)는 정부서울청사에서 쿠팡 침해 사고 관련 민관합동조사 결과를 발표했다. 과기정통부는 지난해 11월29일부터 쿠팡 웹 접속기록 25.6테라바이트(TB) 분량(데이터 6642억건)을 분석했다. 분석 결과 쿠팡 ‘내 정보 수정 페이지’에서 사용자 이름과 이메일이 3367만건 유출됐다고 전했다.
‘배송지 목록 페이지’에서 이름, 전화번호, 배송지 주소 등이 1억4800만회 조회돼 정보가 유출됐다. 특수문자가 들어간 공동현관 비밀번호도 포함됐다. 배송지 목록 수정 페이지에서는 이름, 전화번호, 주소 등이 5만474회 조회됐고 주문 목록 페이지는 10만2682회 조회됐다.
공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후, 이를 활용해 ‘전자 출입증’을 위·변조해 쿠팡 인증 체계를 통과했다. 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다.
조사단은 위·변조한 ‘전자 출입증’에 대한 검증 체계가 미흡해 공격자의 공격 행위를 사전에 탐지·차단하지 못한 것으로 봤다. 공격자가 이용자 인증 관련 시스템 개발자임에도 퇴사 이후 쿠팡은 서명키를 즉시 갱신하지 않은 채 운영해왔다.
이런 상황속에서 계정 소유자의 가족, 지인 등 제3자의 개인정보 유출로 확대될 수도 있다는 분석이 따른다. 과기정통부는 이번 조사단의 조사 결과를 토대로, 쿠팡에 재발 방지 대책에 따른 이행계획을 2월까지 받는다. 상반기 중으로 쿠팡의 이행 여부를 점검할 계획이다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
한편, 조사단이 파악한 개인정보 유출 규모에는 쿠팡이 최근 추가로 밝힌 16만5000여 계정 유출 건은 포함되지 않았다.
박정원 인턴 기자 jason201477@hankyung.com