시사위크=김지영 기자 쿠팡 전 직원이 유출한 개인정보가 3,300만 여건을 넘어서는 것으로 드러났다. 전화번호, 주소 등 정보는 1억만회 넘게 조회됐다.
10일 과학기술정보통신부(이하 과기정통부)는 쿠팡 개인정보 유출 사고에 대한 민관합동조사단의 조사 결과를 이같이 발표했다.
조사에 따르면 이름, 이메일 등 개인정보가 3,367만여건 이상 유출된 것으로 확인됐다. 전화번호, 주소, 공동현관 비밀번호 등이 포함된 배송지 목록 페이지는 1억4,800만회, 최근 주문 상품 목록 페이지는 10만2,682회 조회된 것으로 나타났다.
이날 발표된 유출 규모는 조사단이 웹 접속기록 등을 기반으로 산정한 것으로, 개인정보 유출 규모는 향후 개인정보보호위원회(이하 개보위)가 확정해 발표할 예정이다.
공격자는 쿠팡 재직 당시 이용자 인증 시스템 설계·개발 업무를 수행하면서, 이용자 인증 체계의 취약점과 키 관리체계의 취약점을 인지했고, 이 점을 이용해 위·변조한 ‘전자 출입증’으로 쿠팡 서비스에 무단 접속한 것으로 확인됐다.
이에 대해 조사단은 쿠팡 정보보호 체계에 △정상적인 발급 절차를 거친 ‘전자 출입증’인지 여부를 검증하는 체계가 없다는 점 △사용자의 정보 변경에 따른 키 교체 등 세부적인 운영 절차 수립이 미흡하다는 점 △비정상 접속 행위를 통한 정보 유출을 탐지·차단하지 못했다는 점을 지적했다.
또한, 현재 재직 중인 쿠팡 개발자가 개인 노트북에 서명키를 저장(하드코딩)하고 있는 것도 확인돼, 키 유출 및 오남용 위험이 있는 것으로 드러났다.
이에 조사단은 쿠팡에 재발 방지 대책으로 ‘전자 출입증’에 대한 탐지 및 차단 체계 도입, 키 관리·통제 체계 강화와 상시 점검 시행, 비정상 접속 행위에 대한 모니터링 강화 등을 주문했다.
과기정통부는 이달 중으로 쿠팡에 재발 방지 대책에 따른 이행계획을 제출토록 하고, 쿠팡이 3~5월동안 이행한 사항을 이후 6~7월에 점검할 계획이다.
앞서 쿠팡은 지난해 12월 25일 자체 조사를 통해 유출된 고객 개인정보가 3,000건 수준이라고 밝힌 바 있다. 이날 발표로 쿠팡의 자체조사 결과와 실제 피해 규모의 차이가 크다는 지적이 나오자, 쿠팡 관계자는 “쿠팡은 기존 3,370만 여개 계정의 유출 규모에 대해서 부정한 적이 없다”며 “다만 2차 피해에 대한 불안감을 낮추기 위해, 약 3,000개 계정만 공격자 하드 드라이브에 저장됐다고 설명한 것”이라고 말했다.
Copyright ⓒ 시사위크 무단 전재 및 재배포 금지
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기