[디지털데일리 김보민·유채리기자] 정부 민관합동조사단이 쿠팡에서 발생한 대규모 개인정보 유출 사고와 관련해 첫 조사 결과를 발표했다. 내정보 수정 페이지에서 유출된 이름과 이메일만 3367만여건으로, 공격자가 무단 조회한 정보까지 포함하면 규모는 더욱 커질 전망이다.

조사단은 개인정보보호위원회 조사와 경찰 수사에 대해서는 말을 아꼈다. 회원·비회원 비중은 물론 공격자로 특정된 쿠팡 퇴사 직원에 대한 질문에도 담당 분야가 아니라는 입장을 되풀이했다. 대신 이번 사태가 지능화된 해킹이 아닌 관리 소홀로 발생한 만큼, 추후 재발방지 대책 등 보완책을 엄하게 요구하겠다고 밝혔다.

◆ 3000건이라더니 '3367만건' 유출 확인…피해 전방위 확산 우려

조사단은 10일 브리핑을 통해 '쿠팡 전(前) 직원에 의한 정보통신망 침해사고 조사 결과'를 발표했다. 조사단은 이번 쿠팡 침해 사고로 '내 정보 수정 페이지' 내 성명과 이메일 주소 등 이용자 정보 3367만3817건이 유출됐음을 공식 확인했다.

특히 배송지 목록 페이지는 약 1억4805만회에 걸쳐 조회된 것으로 드러났다. 조사단은 해당 페이지 한 곳당 배송 주소가 1개에서 최대 20개까지 포함될 수 있다는 점을 고려해 조회 횟수를 기준으로 산정했다고 밝혔다. 이에 따라 계정 소유자뿐 아니라 배송지를 공유한 가족과 친구 등 제3자 개인정보까지 대규모로 노출되는 등 피해 범위가 전방위로 확산될 전망이다. 민감한 사생활이 담긴 주문 목록 페이지 역시 10만회 이상 조회된 사실이 밝혀졌다.

이번 발표는 "유출 정보가 3000건에 불과하다"던 쿠팡의 당초 자체 조사 결과를 정면으로 뒤엎는 수치다. 조사단은 쿠팡이 최근 언급한 추가 유출 건 16만5000여건에 대해서도 "피조사기관 주장은 참고 요소일 뿐 서버 기록을 전수 조사해 확인한 최종 유출 규모는 3367만 건"이라며 못을 박았다. 다만 회원과 비회원을 포함한 최종 피해 인원과 법적 위반 여부는 개인정보위 추가 조사를 통해 확정될 예정이다.

조사단은 2차 피해에 대해서는 "중국 웹사이트와 다크웹 등을 모니터링하고 있으나 아직까지 유출 정보가 악용된 추가 피해 정황은 확인되지 않았다"고 덧붙였다. 결제 정보 또한 유출되지 않았다고 강조했다. 중국인으로 알려진 쿠팡 퇴사 직원에 대해서는 "경찰 수사 영역"이라고 일축했다. 쿠팡이 국가정보원 지시 등에 따라 자체 조사를 진행했다는 후문에 대해서는 "국정원에 문의해달라"고 선을 그었다.

◆ "지능화된 해킹? 관리 소홀 문제"…심판 앞둔 쿠팡

공격자는 쿠팡에 재직했을 당시 백업을 위한 이용자 인증 시스템을 설계한 소프트웨어(SW) 개발자로 확인됐다. 공격자는 쿠팡 서버 인증 취약점을 악용해 정상 로그인 없이 이용자 계정에 접근해 정보를 무단 유출했다. 또한 재직 당시 관리하던 이용자 인증 시스템 서명키를 탈취한 후, 이를 활용해 전자출입증을 위변조해 쿠팡 인증체계를 통과했다. 국회 쿠팡 청문회에서 밝혀진 내용과 동일하다.

조사단은 쿠팡이 업무 담당자가 퇴사할 때 해당 서명키를 더이상 사용하지 못하도록 갱신 절차를 진행해야 했으나 절차가 미비했다고 평가했다. 공격 행위를 사전에 탐지하거나 차단하는 체계도 미흡했다. 조사단은 현재 재직 중인 개발자 노트북을 포렌식한 결과, 서명키를 키 관리 시스템에서만 저장해야 하지만 개발자 노트북에 저장(하드코딩)한 사실도 확인했다.

쿠팡 보안 체계에 대한 전방위적 심판이 예고된 상황이다. 조사단은 "인증체계와 키 관리시스템에 대한 문제점을 강하게 질타해왔다"며 "분명한 관리 문제이며, 지능화된 공격으로 보긴 어렵다"고 평가했다. 조사단은 쿠팡에 재발방지 대책을 요청하고 신고 지연과 자료보전 위반에 대해 추후 과태료와 수사 의뢰를 진행할 방침이다.

현재 쿠팡에 대해 조사를 진행하는 곳은 조사단 뿐만이 아니다. 경찰청은 이번 침해사고와 관련된 증거를 분석해 수사를 진행하고 있다. 개인정보위도 개인정보보호법에 따라 개인정보 유출 규모 및 법 위반 여부를 조사하고 있다. 추후 유출 규모와 범위, 법 위반 여부 등을 산정해 과징금 등 처벌이 이뤄질 전망이다. 개인정보위는 쿠팡 정보유출 사태가 한미 간 통상 이슈로 번질 수 있다는 우려에 대해 "고려 대상이 아니다"라는 입장도 밝혔다.

이날 조사단은 정보통신망법상 신고 지연 외 관리 부실에 대해 처벌할 방안이 없냐는 질문에 "망법에서도 침해사고에 과징금을 물릴 수 있도록 입법이 진행되고 있다"고 답했다.