쿠팡 침해 사고 전모 공개…3367만명 유출·배송지 1억4800만건 조회

[마이데일리 = 박성규 기자] 쿠팡 침해 사고로 유출된 개인정보 규모가 정부 조사에서 구체적으로 드러났다. 이용자 3367만명의 이름과 이메일이 외부로 빠져나갔고, 배송지 주소 등 민감 정보는 1억4800만건 넘게 조회된 것으로 확인됐다.

10일 과학기술정보통신부는 정부서울청사에서 민관 합동 조사 결과를 잠정 발표했다. 조사단은 지난해 말부터 쿠팡 웹 접속기록 25.6테라바이트 분량을 분석해, 쿠팡의 ‘내 정보 수정’ 페이지를 통해 이용자 이름과 이메일 3367만여 건이 유출된 사실을 확인했다고 밝혔다.

배송지 정보의 노출 규모는 더 컸다. ‘배송지 목록’ 페이지에서 이름·전화번호·주소와 함께 비식별화된 공동현관 비밀번호가 포함된 정보가 1억4800만여 차례 조회됐다. 계정 소유자 본인뿐 아니라 가족·지인 등 제삼자의 정보도 다수 포함돼 있어, 피해 범위가 추가로 확대될 가능성도 제기된다.

조사단은 공격에 사용된 것으로 추정되는 PC 저장장치 4대와 현직 개발자의 업무용 노트북을 포함해 포렌식 조사를 진행했다. 범인은 쿠팡 재직 당시 이용자 인증 시스템을 담당했던 전 직원으로, 인증 취약점을 악용해 정상 로그인 없이 계정에 접근한 것으로 파악됐다. 자동화된 웹 크롤링 도구를 활용한 무단 조회는 지난해 4월부터 11월 초까지 이어졌다.

문제는 탐지 실패다. 정상 발급 절차를 거치지 않은 전자 출입증(토큰)이 악용될 수 있다는 점이 과거 모의 해킹에서 지적됐지만, 쿠팡이 이를 개선하지 않았다는 것이 조사단의 판단이다. 대규모 비정상 접근이 이어졌음에도 내부 모니터링 체계가 작동하지 않았다는 지적이 나온다.

사후 대응도 논란을 키웠다. 쿠팡은 사고 인지 후 최고정보보호책임자에게 보고한 시점으로부터 24시간 이내에 당국에 신고해야 하는 규정을 지키지 못했다. 이에 따라 과기정통부는 과태료 부과를 예고했다. 또 자료 보전 명령을 이행하지 않아 일부 기간의 웹·애플리케이션 접속 기록이 삭제된 점에 대해서는 수사를 의뢰했다.

정부는 향후 절차도 예고했다. 개인정보 유출의 정확한 규모는 개인정보보호위원회가 최종 확정해 발표할 예정이다. 과기정통부는 쿠팡에 인증키 관리와 비정상 접속 탐지 강화 등 재발 방지 대책을 요구했으며, 이행 계획 제출과 점검을 단계적으로 진행할 방침이다.

업계에서는 이번 조사 결과가 대형 플랫폼의 보안 책임 기준을 한층 끌어올릴 계기가 될 것으로 본다.

한 IT 보안 업계 관계자는 “유출 규모보다 더 심각한 문제는 장기간 접근을 인지하지 못한 구조적 허점”이라며 “플랫폼 기업의 보안 투자가 선택이 아닌 필수라는 점을 다시 확인한 사례”라고 말했다.