정부 "쿠팡 3367만건 정보유출…퇴사자 서명키 악용"

[프라임경제] 과학기술정보통신부(이하 과기정통부)는 쿠팡 침해사고에 대한 민관합동조사단의 조사 결과를 10일 발표했다. 쿠팡 전 직원이 유출한 개인정보 규모가 정부가 당초 추정했던 3300만건을 넘어선 것으로 나타났다.

지난해 11월16일 쿠팡은 이용자로부터 개인정보 유출 관련 의심 이메일을 받았다는 내용의 고객의 소리(VOC)를 접수했다.

쿠팡은 자체조사를 통해 11월17일 침해사고 발생을 인지하고, 11월19일 4536개 계정의 고객명·이메일·주소 등 정보가 유출됐다는 내용으로 한국인터넷진흥원(KISA)에 침해사고 신고를 했다.

그러나 KISA가 현장조사를 통해 추가 피해 여부를 파악한 결과, 유출 규모가 최초 신고된 4500여개가 아닌 3000만개 이상인 것으로 파악됐다.

과기정통부는 이번 사고가 국내 최대 전자상거래 플랫폼 침해사고이며, 대규모 정보가 유출된 중대한 침해사고로 판단했다. 이에 11월30일 조사단을 구성해 법과 원칙에 따라 피해현황, 사고원인 등을 조사했다.

조사단은 공격자가 악용한 쿠팡의 이용자 인증체계를 정밀 분석하고, 공격 범위와 유출 규모를 파악하기 위해 웹·애플리케이션 접속기록(로그) 등 관련 자료에 대한 종합적인 분석을 실시했다.

 

쿠팡으로부터 제출받은 공격자 PC 저장장치(HDD 2대, SSD 2대) 및 현재 재직 중인 쿠팡의 개발자 노트북에 대한 포렌식 분석도 병행했다.

또 정보통신망법에 따른 정보보호조치에 관한 지침과 정보보호 및 개인정보보호 관리체계인증(ISMS-P) 기준, 쿠팡 자체규정 등에 대한 준수 여부를 포함해 전사 차원의 정보보호 관리체계를 점검했다.

공격자는 쿠팡에서 정보를 유출했다는 이메일을 11월16일, 25일 두 차례 쿠팡측에 보냈다. 유출한 정보의 일부 내용을 이메일 본문에 기재했다.

조사단은 공격자가 유출했다고 주장하는 이용자 정보들에 대한 진위 여부를 검증하기 위해 쿠팡의 웹 접속기록(로그)를 분석했다.

그 결과 조사단은 공격자가 쿠팡의 내정보 수정 페이지의 △성명 △이메일 △배송지 목록 페이지의 성명 △전화번호 △주소 △공동현관 비밀번호 정보 △주문 목록 페이지의 이용자가 주문한 상품 정보를 유출한 후 해당 정보 일부를 이메일에 기재해 쿠팡 측에 보낸 것을 확인했다.

아울러 쿠팡 웹·애플리케이션 접속기록(로그) 데이터 분석을 통해 내정보 수정, 배송지 목록 등 페이지에서 쿠팡의 이용자 정보가 유출된 것을 파악했다.

쿠팡 '내정보 수정 페이지'에서 성명, 이메일이 포함된 이용자 정보 3367만3817건이 유출된 것을 확인했다.

'배송지 목록 페이지'에서는 △성명 △전화번호 △배송지 주소 △특수문자로 비식별화된 공동현관 비밀번호가 포함된 개인정보를 범인이 1억4805만6502회 조회해 정보가 유출됐다. 배송지 목록 페이지에는 계정 소유자 본인 외에도 가족, 친구 등 제3자의 성명, 전화번호 등 정보가 다수 포함돼 있다. 

또 △성명 △전화번호 △배송지 주소 외에 공동현관 비밀번호가 포함된 배송지 목록 수정 페이지를 5만474회 조회했다. 이용자가 최근 주문한 상품 목록이 포함된 주문 목록 페이지도 10만2682회 조회했다.

조사단은 "웹 접속기록 등을 기반으로 유출 규모를 산정했고 정확한 개인정보 유출 규모에 대해서는 향후 개인정보보호위원회에서 확정해 발표할 예정"이라고 설명했다.

조사단은 사고원인을 정보유출 경로 분석, 공격자 행위 분석 두 가지 측면에서 조사했다. 

조사단은 정보유출 경로를 분석한 결과, 공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 없이 이용자 계정에 비정상 접속해 정보를 무단 유출했음을 확인했다.

공격자는 재직 당시 관리하던 이용자 인증 시스템의 서명키를 탈취한 후 이를 활용해 '전자 출입증'을 위·변조해 쿠팡 인증체계를 통과했다. 그 결과 정상적인 로그인 절차를 거치지 않고 쿠팡 서비스에 무단 접속할 수 있게 됐다.

공격자는 사전 테스트를 통해 이용자 계정에 접근이 가능한 사실을 확인한 이후 자동화된 웹크롤링 공격 도구를 이용해 대규모 정보를 유출했다. 이 과정에서 공격자는 총 2313개 IP를 이용했다.

조사단은 이같은 쿠팡의 정보보호 체계 문제점을 발견하고 재발방지 대책을 마련했다.

쿠팡은 정상 발급절차를 거치지 않은 전자 출입증에 대한 탐지·차단 체계를 도입하는 한편, 모의해킹에서 발견된 취약점에 대해서는 근본적인 문제개선 방안을 마련해야 한다.

키 관리체계 문제점과 관련해서는 쿠팡이 키 관리(발급·사용 이력관리)·통제 체계 강화와 운영관리 기준을 명확히 하고, 상시 점검을 실시할 것을 요구했다.

정보보호 관리체계 미흡에 대해서는 △비정상 접속행위 탐지 모니터링을 강화 △사고 원인 분석과 피해규모 식별 등 목적에 맞는 로그 저장관리 정책 수립·정비 △자체 보안규정 준수 여부에 대한 정기 점검 실시와 미준수 사항 발생 시 즉각 개선하는 관리체계 구축 등을 실시해야 한다.

조사단은 쿠팡의 법 위반사항에 대해서도 밝혔다. 

쿠팡은 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 KISA에 신고해야 한다. 

그러나 정보보호 최고책임자(CISO)에게 보고한 시점(작년 11월17일 오후 4시)으로부터 24시간이 지난 후 KISA에 신고(작년 11월19일 오후 9시35분)했다. 이에 정보통신망법에 따른 과태료를 부과할 예정이다. 

과기정통부는 정보통신망법 제48조의4에 따라 쿠팡에 침해사고 원인 분석을 위해 자료보전을 명령했으나, 쿠팡은 자사 접속기록의 자동 로그 저장 정책을 조정하지 않아 2024년 7월부터 약 5개월 분량 웹 접속기록이 삭제됐다. 또 애플리케이션 접속기록(로그)도 지난해 5월23일~6월2일 간의 데이터가 삭제됐다.

이에 자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰했다.

과기정통부는 "이번 조사단의 조사결과를 토대로 쿠팡에 재발방지 대책에 따른 이행계획을 이달 제출토록 하고, 쿠팡의 이행(3~5월) 여부를 점검(6~7월)할 계획"이라며 "이행점검 결과 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령하겠다"고 전했다.