▲ 서울의 한 쿠팡 캠프 모습
정부가 쿠팡 침해 사고에 관한 조사 결과를 내놓으면서 개인정보 유출 규모와 범행 수법이 구체적으로 윤곽을 드러냈습니다.
범인의 협박 내용은 물론 쿠팡의 서투른 대응 조치와 뒤늦은 신고도 고스란히 공개됐습니다.
그러나 특정 국적 인물로 거론된 범인 신상은 공식 발표되지 않았고, 세부 유출 규모도 개인정보보호위원회가 추후 밝힐 것으로 전망되는 등 미진한 점이 남아 있다는 지적이 제기됩니다.
정부는 개인정보 유출자에 대해 '공격자'와 '범인'이란 표현을 써 가며 '내부 퇴직자'라고 공개했습니다.
쿠팡 재직 당시 이용자 인증 시스템 설계·개발 업무를 수행한 소프트웨어(SW) 개발자로, 자신이 관리한 인증 시스템의 서명키를 훔친 뒤 이를 활용해 전자 출입증을 위변조한 것으로 드러났습니다.
이를 통해 정상적인 로그인 절차를 거치지 않고 퇴사 후에도 쿠팡 서비스에 무단 접속이 가능했습니다.
시스템 장애 등 백업을 위한 이용자 인증 시스템을 잘 파악하고 있었던 만큼 이용자 인증과 키 관리 체계의 취약점을 인지한 뒤 범행을 저질렀다는 게 정부의 설명입니다.
이 범인은 지난해 11월 16일과 25일 두 차례에 걸쳐 영어로 협박 메일을 보낸 것으로 확인됐습니다.
유출한 정보 일부를 이메일 본문에 기재하는 대범함도 보였습니다.
이는 범인이 한국인이 아닌 외국인, 더 나아가 지금까지 일각에서 제기된 중국 국적 퇴사 직원이라는 점을 뒷받침하는 대목으로도 풀이될 수 있습니다.
그러나 합동조사단은 범인의 구체적 신원과 국적을 조사결과 내용이 담긴 보도자료에 공개하지 않았습니다.
정부가 한중 간 외교적 관계를 고려한 조치가 아니냐는 해석이 나오는 대목입니다.
합동조사단은 이번 침해 사고 원인을 정보통신망법 제48조 제4항에 따라 분석하고 유사 사고 재발 방지 대책을 마련했다고 밝혔습니다.
해당 조항은 해킹이나 디도스 등 정보통신망 침해를 위한 프로그램의 제작·유통·사용 지원 행위를 금지하는 내용이 담겨 있습니다.
따라서 이번 조사의 초점도 사고 원인 분석과 재발 방지 방안 마련에 맞춰져 있는 것으로 관측됩니다.
조사단은 쿠팡에서 유출된 정보가 큰 틀에서 성명·이메일 3,367만여 건 유출, 배송지 목록 페이지 1억 4천만여 회 조회, 배송지 목록 수정 페이지 5만여 회 조회 등을 확인했다고 전했습니다.
그러나 세부적인 개인정보 유출 규모는 공개하지 않은 채 개인정보보호위원회에서 확정할 예정이라고 부연했습니다.
개인정보 보호법 위반 여부도 명확하게 공지되지 않았습니다.
개보위가 해당 법에 따른 개인정보 유출 규모와 위법 여부 등을 조사하고 있다고도 했습니다.
사실상 개보위가 구체 유출 규모와 위법성 여부에 관해 최종 결론을 낼 것이란 점을 시사한 것으로 풀이됩니다.
(사진=연합뉴스)
동영상 기사
동영상 기사
동영상 기사
동영상 기사
동영상 기사
댓글